Android

IE8s Clickjacking-løsning ikke mye hjelp, sier eksperter

Solving Clickjacking - HTTP 203

Solving Clickjacking - HTTP 203
Anonim

Ny Microsoft-teknologi som er designet for å beskytte Internet Explorer-brukere fra et kraftig nytt nettbasert angrep, løser ikke problemet, sa sikkerhetseksperter tirsdag.

Microsoft lanserte teknologien som en del av en tidlig versjon av "release candidate" av sin neste versjon generasjon Internet Explorer 8-nettleseren, sier at selskapet hadde utviklet "forbruker-klar" beskyttelse for et angrep kjent som clickjacking. I clickjacking bruker angriperne spesiell webprogrammering for å lure ofre til å klikke på webknapper uten å innse det. Angrepet er vanskelig å trekke av, men i verste fall kan clickjacking gjøre noen svært ekkel ting, som for eksempel utføre aksjehandel på finansielle nettsteder, endre rutere eller brannmurkonfigurasjoner, eller til og med tvinge noen til å laste ned uønsket programvare.

The Problemet er så stort at sikkerhetseksperter er bekymret for at Microsofts tilnærming, som bare virker når webutviklere utvikler spesielle koder til deres sider som forhindrer at deres egne webknapper blir misbrukt, kan ende opp med å gi IE-brukere en falsk følelse av sikkerhet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Det er ikke en løsning å klikkejacking på en hvilken som helst del av fantasien. Det er en svakt begrensende faktor for de få personer som bruker IE8," sa Robert Hansen, administrerende direktør av SecTheory konsulentfirmaet, og en av de som først rapporterte problemet til Microsoft. "Men det er interessant at de tar det seriøst."

Mens noen nettsteder sikkert vil bruke Microsofts teknologi for å hindre at deres IE-besøkende blir rammet med clickjacking, er det bare for mange andre områder hvor HTML-kode er usannsynlig å være oppdatert og hackere kan starte angrep - målretting av grensesnitt for administratorer eller bedriftsprogrammer, eller å gå etter nettsteder som ikke har kommet seg rundt for å implementere Microsofts reparasjon. "Dette er en løsning som, selv om alle bestemmer seg for at dette er den riktige måten å gjøre ting på, vil det fortsatt ta mange års utdanning, sier Hansen.

Verre, noen brukere kan feilaktig tro at de er beskyttet mot angrep bare fordi de bruker IE, ifølge Giorgio Maone, utvikleren av Firefox NoScript-plugin, som generelt anses som den beste beskyttelsen mot mange nettbaserte angrep, inkludert clickjacking. "De dårlige nyhetene for IE-entusiaster er at de ikke har noen magisk beskyttelse uten beskyttelse," skrev han på bloggen sin tirsdag. "Sannt, det krever ikke noe" nettleser-tillegg "… men det kommer med et enda strengere krav: Alle nettstedene som skal beskyttes, må allerede ha vedtatt en ny proprietær hack, dvs. noe ingen sluttbruker kan bekrefte, la alene håndheve. "

NoScript lar brukerne blokkere bruken av skriptspråk i Firefox-nettleseren. Fordi clickjacking krever skripting, virker angrepet ikke når NoScript er aktivert.

I måneder har Maone's plug-in vært den mest kjente teknologien for å hindre clickjacking. Med IE 8 testkoden har Microsoft endelig sitt eget alternativ.

For å hjelpe situasjonen utvikler Maone en kompatibilitetsfunksjon slik at NoScript-brukere vil kunne dra nytte av den samme webkoden som brukes av IE, og Han lobbyer nå for å få denne funksjonen inkludert i en kommende versjon av Firefox.

Hansen og Maone kritiserte også Microsoft for å holde fast på tekniske detaljer om teknologien. "Selv om de implementerte det, har de ikke gitt veiledning om hvordan man egentlig bruker det," sa Hansen.

I en e-post uttalelse sa Microsoft at det hadde planlagt å sette opp et blogginnlegg på anti-clickjacking funksjonen en gang i uken, og at den hadde jobbet med alle de store nettleservirksomhetene "for å få tilbakemelding og innspill om implementeringen av clickjacking-taggen før du sendte Internet Explorer 8 RC1."

Det innlegget kan være nyttig. Som ting står nå, ser det ut til at "funksjonen tillater ikke brukeren å beskytte seg selv," sa Jeremiah Grossman, sjefsteknologsjef med White Hat Security.

Hansen sa at Microsoft-utviklere først foreslo deres IE8 clickjacking-løsning flere måneder siden da han først beskrev problemet for dem. "Jeg avviste det som ikke en langsiktig, levedyktig løsning på clickjacking," sa han.

I en rapport merket " ryktet, sier gadgetblogg Gizmodo en navngitt kilde som sier at Apple "velger å fjerne hype-faktoren strategisk" ved å holde hovednoten uten jobber, hvis "helse er raskt avtagende." Gizmodo sa at kilden hadde vært riktig tidligere, men bare om Apple-produkter og ikke om Jobs. Apple kommenterte ikke Gizmodo-innlegget og reagerte ikke umiddelbart på IDG News Service-forespørsler om kommentar.

I en rapport merket " ryktet, sier gadgetblogg Gizmodo en navngitt kilde som sier at Apple "velger å fjerne hype-faktoren strategisk" ved å holde hovednoten uten jobber, hvis "helse er raskt avtagende." Gizmodo sa at kilden hadde vært riktig tidligere, men bare om Apple-produkter og ikke om Jobs. Apple kommenterte ikke Gizmodo-innlegget og reagerte ikke umiddelbart på IDG News Service-forespørsler om kommentar.

Apples Nasdaq-aksje (AAPL), som hadde stengt på $ 86,61 på mandag, falt så lite som $ 84,72, en dråpe på ca 2 prosent. Men aksjer endte dagen på $ 86,29, ned bare $ 0,32 eller 0,37 prosent.

Det er ingen hemmelighet at den tilpassede designen, funksjonene og belastningene til ytelses-PCer har en tendens til å bli mer uvanlig og imponerende, jo høyere opp prislisten går man. Det er ikke å si at gode, billige systemer ikke eksisterer; Det er bare at de sanne Everestene i databehandlingsverdenen krever litt mer deig. Men ikke så mye. Digital Storms Black Ops Assassin er en fantastisk kombinasjon av skjønnhet og ytelse som ikke bryter banken ($ 3391 per 9. august 2010) for dominansen de

Det er ingen hemmelighet at den tilpassede designen, funksjonene og belastningene til ytelses-PCer har en tendens til å bli mer uvanlig og imponerende, jo høyere opp prislisten går man. Det er ikke å si at gode, billige systemer ikke eksisterer; Det er bare at de sanne Everestene i databehandlingsverdenen krever litt mer deig. Men ikke så mye. Digital Storms Black Ops Assassin er en fantastisk kombinasjon av skjønnhet og ytelse som ikke bryter banken ($ 3391 per 9. august 2010) for dominansen de

Vi starter vanligvis PC-vurderinger med en sammenbrudd av systemets interne komponenter. I dette tilfellet er det imidlertid Assassins samlede utseende som kjører hjem den slags brukeropplevelse som venter rundt hjørnet. Digital Storms utmerkede bruk av et Silverstone FT02-chassis betyr at et flertall av systemets tarm er vendt på siden: Alle komponentene kobles på toppen av chassiset i stedet for på baksiden. Saken gir dermed rikelig med plass til tre 180mm-fans som grundig ventilerer riggen fr

Med Windows 10 v1803 tilbyr Microsoft deg nå en måte å se hvor mye data din Wireless eller Ethernet-adapter kan forbruke. Dette er viktig på grunn av datagrenser du kan ha med Internett-leverandøren din. Jeg er sikker på at mange av dere har enten ubegrenset eller stort lager av data båndbredde, men det er mange som ikke har dette privilegiet. Thisfeature er viktig for dem, da data ikke er billig og med dette, på plass, kan man forstå hvor mye data har blitt brukt uten å bruke noe tredjepartsver

Med Windows 10 v1803 tilbyr Microsoft deg nå en måte å se hvor mye data din Wireless eller Ethernet-adapter kan forbruke. Dette er viktig på grunn av datagrenser du kan ha med Internett-leverandøren din. Jeg er sikker på at mange av dere har enten ubegrenset eller stort lager av data båndbredde, men det er mange som ikke har dette privilegiet. Thisfeature er viktig for dem, da data ikke er billig og med dette, på plass, kan man forstå hvor mye data har blitt brukt uten å bruke noe tredjepartsver

Det er et annet aspekt. Mange ganger kobler du til flere nettverk - og du får også vite detaljer om det.