Firefox Extension Blocks Dangerous Web Attack

NoScript on pieni sovellus, joka integroituu Firefoxiin. Se estää ohjelmointikielten, kuten JavaScriptin ja Java: n, suorittamat komentosarjat suorittamatta epäluotettavia verkkosivuja.

Viimeisimmän NoScript-version versio 1.8.2.1 lopettaa niin kutsutun klikkauksen, jossa ihminen, joka selaa verkkoa, napsauttaa haitallista, näkymätöntä linkkiä ilman, että

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Clickjacking on tunnettu useiden vuosien ajan, mutta kiinnittää huomiota jälleen kerran kaksi turvallisuustutkijaa, Robert Hansen ja Jeremiah Grossman, varoitti viime kuussa uusia skenaarioita, jotka voisivat vaarantaa henkilön yksityisyyden tai jopa pahemman, varastaa rahaa pankkitililtä.

Valitettavasti napsauttaminen on mahdollista HTML: n perusominaisuuden vuoksi sallii Web-sivustojen upottaa sisältöä muista verkkosivuista, Maone sanoi. Lähes kaikki web-selaimet ovat alttiita napsautuksen hyökkäykselle.

"Se on erittäin vaikea korjata, koska se on osa verkon ja selainta," Maone sanoi.

Sulautettu sisältö voi olla näkymätön mutta henkilö voi silti olla tietämättään vuorovaikutuksessa sen kanssa. Klikkauskohtainen hyökkäys hyödyntää sitä tekemällä käyttäjää klikkaamalla painiketta, joka näyttäisi toimivan jonkin verran, mutta tosiasiassa tekee jotain täysin erilaista.

Clickjacking voidaan myös toteuttaa manipuloimalla muiden sovellusten, kuten Adoben Flash-ohjelma ja Microsoftin Silverlight. Esimerkiksi tutkijat ovat viime päivinä osoittaneet, että klikkauksen hyökkäys voi ottaa henkilön Web-kameran ja mikrofonin käyttöön ilman heidän tietämystään.

Tiistaina julkaistussa neuvonnassa Adobe ilmoitti julkaisevan Flash-korjauspäivän loppuun mennessä kuukausi.

Uusi NoScript-parannus, ClearClick, voi havaita, onko Web-sivulla piilotettu, upotettu elementti. Sen jälkeen näytetään varoitusviesti, jossa kysytään käyttäjää, jos hän haluaa silti napsauttaa sitä.

Maone sanoi, että ClearClick todennäköisesti lopettaa kaikki klikkausyritykset. NoScript on vain Firefox-selaimella, joten Microsoftin Internet Explorerin käyttäjät - maailman eniten käytetty selain - ovat haavoittuvia.

Web-sivuston omistajat voivat kuitenkin ryhtyä yhtä askelta estääkseen käyttäjien joutumisen uuteen tilanteeseen, Maone sanoi. Ohjelmoijat voivat käyttää verkkosivuillaan komentosarjaa, joka tarkistaa, onko Web-sivu upotettu toiseen sivuun. Jos näin on, käsikirjoitus pakottaa hyvän verkkosivun eteen, mikä estää klikkauksen, sanoi Maone.

Tekniikkaa kutsutaan "framebustingiksi". Ebayn verkkopalvelut, PayPal, jota usein kohdistetaan tietoverkkorikollisuuksiin, on jo toteuttanut kehysrajoituksia, Maone sanoi. NoScript antaa runbusting-komentosarjan suoritettavaksi, Maone sanoi.

"Parasta mitä voi tapahtua on, että sivuston omistajat alkavat ajatella turvallisuutta paremmin", Maone sanoi. "On tärkeää, että verkkosivuston omistajat levittävät sanaa, jonka mukaan heidän on pantava täytäntöön kehys."

Clickjacking on vakava, mahdollisesti pitkän aikavälin ongelma selaimen kehittäjille. Koska hyökkäys on käytössä HTML-ominaisuudessa, se edellyttää muutoksia HTML-määritykseen.

Web-standardiryhmät parhaillaan työskentelevät HTML 5: ssä, joka sisältää uusia ominaisuuksia ohjelmointikielellä tulevan Web-suunnittelun mukauttamiseksi. Mutta standardiprosessi muuttuu hitaasti, ja muutokset HTML: hen voivat rikkoa olemassa olevia verkkosivuja, Maone sanoi.

"Käyttäjälle ei valitettavasti ole mitään korjausta, mutta NoScript toistaiseksi."