Firefox Extension Blocks Nebezpečný Web Attack

NoScript je malá aplikace, která se integruje do prohlížeče Firefox. Blokuje skripty v programovacích jazycích, jako je například JavaScript a Java, při spouštění na nedůvěryhodných webových stránkách. Skripty mohou být použity k útoku na počítač.

Nejnovější vydání aplikace NoScript, verze 1.8.2.1, zastaví tzv. "Clickjacking", kde člověk procházející webem klikne na škodlivý, neviditelný odkaz bez uvedl Giorgio Maone, italský bezpečnostní vědec, který napsal a udržuje program.

Clickjacking je známý už několik let, ale opět upozorňuje dva výzkumní pracovníci v oblasti bezpečnosti, Robert Hansen a Jeremiah Grossman, minulý měsíc upozorňovali na nové scénáře, které by mohly ohrozit soukromí či dokonce ještě horší, ukrást peníze z bankovního účtu.

Bohužel kliknutí je možné díky základní konstrukční funkci v HTML umožňuje webovým serverům vkládat obsah z jiných webových stránek, řekl Maone. Téměř všechny webové prohlížeče jsou náchylné k útoku na kliknutí.

"Je to velmi těžké opravit, protože je součástí samotné struktury webu a prohlížeče," řekl Maone.

Vložený obsah může být neviditelný, ale může člověk s ním stále nevědomky komunikovat. Clickjacking útok využívá výhod tím, že podvádí uživatele klepnutím na tlačítko, které se zdá, že dělají nějakou funkci, ale ve skutečnosti dělá něco úplně jiného.

Clickjacking může být také dosaženo manipulací plug-iny jiných aplikací, jako je Adobe Flash program a Silverlight společnosti Microsoft. Například výzkumníci v posledních dnech ukázali, že je možné, že útok clickjackingu zapne webovou kameru a mikrofon osoby bez jejich vědomí.

Společnost Adobe v utorkovém poradenství uvedla, že bude vydávat záplatu pro Flash do konce roku měsíc.

Nové vylepšení aplikace NoScript, nazývané ClearClick, dokáže zjistit, zda v rámci webové stránky existuje skrytý vložený prvek. Pak se zobrazí varovná zpráva s dotazem na uživatele, zda se na něj stále chtějí kliknout.

Maone řekl, že ClearClick pravděpodobně zastaví všechny pokusy o kliknutí. NoScript je určen pouze pro prohlížeč Firefox, takže uživatelé prohlížeče Microsoft Internet Explorer - nejčastěji používaného prohlížeče na světě - jsou zranitelné.

Majitelé webových stránek však mohou udělat jeden krok, aby zabránili tomu, aby se jejich uživatelé stali obětí, Řekl Maone. Programátoři mohou na svých webových stránkách používat skript, který kontroluje, zda je webová stránka vložena do jiné stránky. Pokud ano, skript přitahuje dobrou webovou stránku vpřed, čímž zabraňuje kliknutí, říká Maone.

Technika se nazývá "rámba". Ebay je online platební služba, PayPal, který je často zaměřen na počítačové zločiny, již provedl rámcování, řekl Maone. NoScript umožní spustit skript pro skenování rámců, řekl Maone.

"Nejlepší věc, která se může stát, je to, že majitelé webových stránek začínají pečlivě myslet na bezpečnost," řekl Maone. "Je důležité, aby majitelé webových stránek šířili slovo, které by měly implementovat rámování."

Clickjacking je vážný, potenciálně dlouhodobý problém pro vývojáře prohlížeče. Vzhledem k tomu, že útok je povolen funkcí v rámci HTML, vyžaduje změny ve specifikaci HTML.

Skupiny webových standardů pracují v současné době na HTML 5, specifikaci, která bude zahrnovat nové funkce do programovacího jazyka, aby vyhovovala budoucímu návrhu webu. "Pro uživatele se obávám, že prozatím neexistuje žádný opravný problém," řekl.