Firefox Extension Blocks Farlig Web Attack

NoScript er et lite program som integreres i Firefox. Den blokkerer skript i programmeringsspråk som JavaScript og Java fra kjøring på usikre websider. Skriptene kan brukes til å starte et angrep på en PC.

Den nyeste versjonen av NoScript, versjon 1.8.2.1, vil stoppe såkalt "clickjacking", der en person som surfer på webklikkene på en skadelig, usynlig kobling uten Giorgio Maone, en italiensk sikkerhetsforsker som skrev og vedlikeholdt programmet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Clickjacking har vært kjent i flere år, men trekker oppmerksomhet igjen etter to sikkerhetsforskere, Robert Hansen og Jeremiah Grossman, advarte i siste måned om nye scenarier som kan skade personens personvern eller enda verre, stjele penger fra en bankkonto.

Dessverre er clickjacking mulig på grunn av en grunnleggende designfunksjon i HTML som tillater nettsteder å legge inn innhold fra andre nettsider, sa Maone. Nesten alle nettlesere er sårbare for et clickjacking-angrep.

"Det er en veldig vanskelig ting å fikse fordi det er en del av selve stoffet på nettet og nettleseren," sa Maone.

Det innebygde innholdet kan være usynlig, men en person kan fortsatt ubevisst samhandle med den. Et clickjacking-angrep utnytter det ved å lure en bruker til å klikke på en knapp som ser ut til å gjøre noe, men faktisk gjør noe helt annet.

Clickjacking kan også oppnås ved å manipulere plugin-modulene til andre programmer, for eksempel Adobe Flash-program og Microsofts Silverlight. For eksempel har forskere i de siste dagene vist at det er mulig for et clickjacking-angrep å slå på en persons webkamera og -mikrofon uten deres kunnskap.

I en rådgivende tirsdag sa Adobe at det vil utstede en oppdatering for Flash ved slutten av måneden.

Den nye forbedringen til NoScript, kalt ClearClick, kan oppdage om det finnes et skjult, innebygd element på nettsiden. Det viser så en advarselsmelding som spør brukeren om de fortsatt vil klikke på den.

Maone sa ClearClick vil sannsynligvis stoppe alle clickjackingforsøk. NoScript er bare for Firefox-nettleseren, slik at brukere av Microsofts Internet Explorer - den mest brukte nettleseren i verden - er sårbare.

Nettstedseierne kan imidlertid ta ett skritt for å hindre at brukerne faller offer, Sa Maone. Programmører kan bruke et skript på sine nettsider som kontrollerer for å se om en nettside er innebygd på en annen side. I så fall styrker manuset den gode nettsiden foran, og forhindrer clickjacking, sa Maone.

Teknikken kalles "framebusting". Ebays online betalingstjeneste, PayPal, som ofte er rettet mot cyberkriminelle, har allerede implementert frembrudd, sa Maone. NoScript vil tillate et frembruddskript å kjøre, sa Maone.

"Det beste som kan skje er at webområdeeiere begynner å tenke mer nøye på sikkerhet," sa Maone. "Det er viktig at webområdeeiere sprer ordet som de burde implementere framebusting."

Clickjacking er et seriøst, potensielt langsiktig problem for nettleserutviklere. Siden angrepet er aktivert av en funksjon i HTML, krever det endringer i HTML-spesifikasjonen.

Webstandardgrupper arbeider for øyeblikket med HTML 5, en spesifikasjon som vil inneholde nye funksjoner i programmeringsspråket for å imøtekomme fremtidig webdesign. Men standardprosessen beveger seg sakte, og endringer i HTML kan ødelegge eksisterende nettsider, sa Maone.

"For brukeren er jeg redd, det er ingen feil, men NoScript for tiden," sa han.