Android

IE8s Clickjacking-løsning ikke mye hjelp, sier eksperter

Solving Clickjacking - HTTP 203

Solving Clickjacking - HTTP 203
Anonim

Ny Microsoft-teknologi som er designet for å beskytte Internet Explorer-brukere fra et kraftig nytt nettbasert angrep, løser ikke problemet, sa sikkerhetseksperter tirsdag.

Microsoft lanserte teknologien som en del av en tidlig versjon av "release candidate" av sin neste versjon generasjon Internet Explorer 8-nettleseren, sier at selskapet hadde utviklet "forbruker-klar" beskyttelse for et angrep kjent som clickjacking. I clickjacking bruker angriperne spesiell webprogrammering for å lure ofre til å klikke på webknapper uten å innse det. Angrepet er vanskelig å trekke av, men i verste fall kan clickjacking gjøre noen svært ekkel ting, som for eksempel utføre aksjehandel på finansielle nettsteder, endre rutere eller brannmurkonfigurasjoner, eller til og med tvinge noen til å laste ned uønsket programvare.

The Problemet er så stort at sikkerhetseksperter er bekymret for at Microsofts tilnærming, som bare virker når webutviklere utvikler spesielle koder til deres sider som forhindrer at deres egne webknapper blir misbrukt, kan ende opp med å gi IE-brukere en falsk følelse av sikkerhet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Det er ikke en løsning å klikkejacking på en hvilken som helst del av fantasien. Det er en svakt begrensende faktor for de få personer som bruker IE8," sa Robert Hansen, administrerende direktør av SecTheory konsulentfirmaet, og en av de som først rapporterte problemet til Microsoft. "Men det er interessant at de tar det seriøst."

Mens noen nettsteder sikkert vil bruke Microsofts teknologi for å hindre at deres IE-besøkende blir rammet med clickjacking, er det bare for mange andre områder hvor HTML-kode er usannsynlig å være oppdatert og hackere kan starte angrep - målretting av grensesnitt for administratorer eller bedriftsprogrammer, eller å gå etter nettsteder som ikke har kommet seg rundt for å implementere Microsofts reparasjon. "Dette er en løsning som, selv om alle bestemmer seg for at dette er den riktige måten å gjøre ting på, vil det fortsatt ta mange års utdanning, sier Hansen.

Verre, noen brukere kan feilaktig tro at de er beskyttet mot angrep bare fordi de bruker IE, ifølge Giorgio Maone, utvikleren av Firefox NoScript-plugin, som generelt anses som den beste beskyttelsen mot mange nettbaserte angrep, inkludert clickjacking. "De dårlige nyhetene for IE-entusiaster er at de ikke har noen magisk beskyttelse uten beskyttelse," skrev han på bloggen sin tirsdag. "Sannt, det krever ikke noe" nettleser-tillegg "… men det kommer med et enda strengere krav: Alle nettstedene som skal beskyttes, må allerede ha vedtatt en ny proprietær hack, dvs. noe ingen sluttbruker kan bekrefte, la alene håndheve. "

NoScript lar brukerne blokkere bruken av skriptspråk i Firefox-nettleseren. Fordi clickjacking krever skripting, virker angrepet ikke når NoScript er aktivert.

I måneder har Maone's plug-in vært den mest kjente teknologien for å hindre clickjacking. Med IE 8 testkoden har Microsoft endelig sitt eget alternativ.

For å hjelpe situasjonen utvikler Maone en kompatibilitetsfunksjon slik at NoScript-brukere vil kunne dra nytte av den samme webkoden som brukes av IE, og Han lobbyer nå for å få denne funksjonen inkludert i en kommende versjon av Firefox.

Hansen og Maone kritiserte også Microsoft for å holde fast på tekniske detaljer om teknologien. "Selv om de implementerte det, har de ikke gitt veiledning om hvordan man egentlig bruker det," sa Hansen.

I en e-post uttalelse sa Microsoft at det hadde planlagt å sette opp et blogginnlegg på anti-clickjacking funksjonen en gang i uken, og at den hadde jobbet med alle de store nettleservirksomhetene "for å få tilbakemelding og innspill om implementeringen av clickjacking-taggen før du sendte Internet Explorer 8 RC1."

Det innlegget kan være nyttig. Som ting står nå, ser det ut til at "funksjonen tillater ikke brukeren å beskytte seg selv," sa Jeremiah Grossman, sjefsteknologsjef med White Hat Security.

Hansen sa at Microsoft-utviklere først foreslo deres IE8 clickjacking-løsning flere måneder siden da han først beskrev problemet for dem. "Jeg avviste det som ikke en langsiktig, levedyktig løsning på clickjacking," sa han.