IE8: n Clickjacking korjaa paljon apua, asiantuntijat sanovat

Microsoft julkaisi teknologian osana aikaisempaa "julkaisukelpoista" testiversiota seuraavasta -luodaan Internet Explorer 8 -selaimessa sanomalla, että yritys oli kehittänyt "kuluttajansuojautuneen" suojan hyökkäykselle, jota kutsutaan napsauttamalla. Klikkauksen aikana hyökkääjät käyttävät erityistä Web-ohjelmointia uhrien huijaamiseen napsauttamalla Web-painikkeita ymmärtämättä sitä. Hyökkäys on vaikea vetäytyä, mutta pahimmillaan klikkauksen voi tehdä joitakin erittäin pahoja asioita, kuten esimerkiksi suorittaa varastosopimuksia taloudellisissa verkkosivustoissa, vaihtaa reitittimen tai palomuurikokoonpanoja tai jopa pakottaa joku lataamaan ei-toivottuja ohjelmia.

ongelma on niin suuri, että tietoturva-asiantuntijat ovat huolissaan siitä, että Microsoftin lähestymistapa, joka toimii vain silloin, kun Web-sivuston kehittäjät lisäävät sivuilleen erityisiä tunnisteita, jotka estävät omien Web-painikkeiden väärinkäytön, saattavat loppujen lopuksi antaa IE-käyttäjille väärän tietoturvan. [Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

"Se ei ole ratkaisu hiiren napsauttamiseen millä tahansa ulottuvuudella mielikuvituksesta. Se on epäselvä lieventävä tekijä niille harvoille, jotka käyttävät IE8: tä", sanoo toimitusjohtaja Robert Hansen SecTheory-konsultti, ja yksi niistä henkilöistä, jotka ilmoittivat ongelman ensin Microsoftille. "Mutta on mielenkiintoista, että he käyttävät sitä vakavasti."

Vaikka jotkut Web-sivustot varmasti käyttävät Microsoftin tekniikkaa estääkseen niiden IE-kävijöiden pääsyn napsautukseen, on yksinkertaisesti liian monia muita alueita, joilla HTML-koodia ei todennäköisesti ole päivitetyt ja hakkerit voivat laukaista hyökkäyksiä - kohdistaa reitittimen hallintarajapintoja tai yrityssovelluksia tai käydä verkkosivustojen ulkopuolella, jotka eivät ole saaneet Microsoftin korjausta. "Tämä on ratkaisu, joka, vaikka kaikki päättäisivät, että tämä on oikea tapa tehdä asioita, kestää vielä vuosien ja vuosien koulutus", Hansen sanoi.

pahempaa, jotkut käyttäjät saattavat erehtyä ajatella, että heitä suojellaan hyökkäys vain siksi, että ne käyttävät IE: tä, Firefoxin NoScript-laajennuksen kehittäjä Giorgio Maone, jota pidetään yleisesti parhaimpana suojauksena monista verkkopohjaisista hyökkäyksistä, kuten napsautuksesta. "Huono uutinen IE-harrastajille on, että heillä ei ole mitään taikaa" laatikon ulkopuolelta ", hän kirjoitti blogissaan tiistaina. "Totta, se ei vaadi" selaimen lisäosaa "… mutta siinä on entistä tiukempi vaatimus: kaikki suojatut sivustot ovat jo hyväksyneet uuden omistusoikeuden, joka ei ole loppukäyttäjä voi tarkistaa, puhumattakaan. "

NoScript antaa käyttäjille selektiivisesti estää komentosarjakielten käytön Firefox-selaimessa. Koska napsauttaminen vaatii komentosarjoja, hyökkäys ei toimi, kun NoScript on käytössä.

Maoneen plug-in on kuukausia ollut tunnetuin tekniikka, jolla estetään napsautuksen poistaminen. IE 8 -koodikoodilla Microsoftilla on kuitenkin oma vaihtoehto.

Maone kehittää yhteensopivuusominaisuutta, jotta NoScript-käyttäjät voivat hyödyntää IE: n samaa Web-koodia. hän nyt lobtaa, että tämä ominaisuus sisältyy tulevassa Firefox-versiossa.

Hansen ja Maone kritisoivat myös Microsoftia teknisten yksityiskohtien hallussapidosta. "Vaikka he toteuttivat, he eivät ole antaneet ohjeita siitä, miten hän todella käyttää sitä", Hansen totesi.

Microsoft ilmoitti sähköpostiviestissä, että se aikoo esittää blogikirjoituksen anti-clickjacking ominaisuus joskus tällä viikolla ja että se oli työskennellyt kaikkien tärkeimpien selaimen toimittajien kanssa "saadakseen palautetta ja panosta napsautustunnisteen käyttöönotosta ennen Internet Explorer 8 RC1: n lähettämistä."

Tämä viesti voisi olla hyödyllinen. Kun asiat ovat nyt, näyttää siltä, ​​että "ominaisuus ei salli käyttäjän suojata itseään", sanoo White Hat Securityn teknologiajohtaja Jeremiah Grossman.

Hansen sanoi, että Microsoftin kehittäjät ehdottivat ensimmäisen kerran IE8-napsautuksensa korjata useita kuukausia sitten, kun hän ensin kuvasi heille ongelman. "Minä hylkäin sen, koska se ei ole pitkäkestoinen, elinkelpoinen ratkaisu klikkauksen tekemiseen", hän sanoi.