IE8 je Clickjacking opravit není moc nápovědy, odborníci říkají

Společnost Microsoft uvolnila tuto technologii jako součást rané "testovací verze kandidátů" -generace prohlížeče Internet Explorer 8 s tím, že společnost vyvinula ochranu "připravenou pro spotřebitele" pro útok známý jako clickjacking. V případě kliknutí útočníci používají speciální webové programování k odcizení obětí kliknutím na tlačítka Web, aniž by si to uvědomili. Útok je těžký, ale v nejhorším případě může mít clickjacking nějaké velmi ošklivé věci, jako například provést obchodování s cennými papíry na finančních webech, změnit konfigurace směrovačů nebo firewallů nebo dokonce donutit někoho stáhnout si nežádoucí software.

Problém je tak rozsáhlý, že bezpečnostní experti se obávají, že přístup společnosti Microsoft, který funguje pouze tehdy, když vývojáři webových stránek přidávají ke svým stránkám speciální značky, které zabraňují tomu, aby jejich vlastní tlačítka na webu byly zneužívány, může skončit tím, že poskytne uživatelům IE falešný pocit bezpečí.

[Více čtení: Jak odstranit malware z vašeho počítače se systémem Windows]

"Není to řešení pro kliknutí jakýmkoli úsekem fantazie. Je to mírně zmírňující faktor pro velmi málo lidí, kteří používají IE8," řekl Robert Hansen, generální ředitel poradce SecTheory a jeden z lidí, kteří Microsoft nejprve informovali o problému. "Je zajímavé, že to berou vážně."

Zatímco některé weby jistě použijí technologii společnosti Microsoft, aby zabránila tomu, aby jejich návštěvníci IE byli zasaženi kliknutím, existuje prostě příliš mnoho dalších oblastí, kde je pravděpodobné, že HTML kód nebude aktualizovány a hackeři mohou spustit útoky - zaměřit se na administrační rozhraní routeru nebo firemní aplikace nebo jít po webech, které se nedostaly do implementace opravy společnosti Microsoft. "Toto je řešení, které, i když se každý rozhodne, že je to správný způsob, jak dělat věci, to bude trvat roky a roky vzdělání," řekl Hansen.

Ještě horší je, že někteří uživatelé by mohli chybně myslet, že jsou chráněni útoku právě proto, že používá IE, podle Giorgia Maonea, vývojáře pluginu Firefox NoScript, který je obecně považován za nejlepší ochranu před mnoha útoky na webu, včetně clickjackingu. "Špatnou zprávou pro fanoušky IE je, že nemají žádnou magickou" ochranu z krabice ", napsal na svém blogu v úterý. "Je pravda, že nevyžaduje žádný doplňkový prohlížeč … ale přichází s ještě přísnějším požadavkem: všechny stránky, které je třeba chránit, musí již přijmout nový proprietární hack, tj. Něco, co žádný koncový uživatel nemůže ověřit, "

NoScript umožňuje uživatelům selektivně zablokovat používání skriptovacích jazyků v prohlížeči Firefox. Protože clickjacking vyžaduje skriptování, útok nefunguje, když je povolen NoScript.

Po mnoho měsíců byl plug-in společnosti Maone nejznámější technologií pro potlačování kliknutí. Testovací kód IE 8 však má nakonec vlastní alternativu.

Aby pomohla situaci, Maone vyvíjí kompatibilitu, takže uživatelé NoScriptu budou moci využívat stejný kód používaný IE a on je nyní lobbuje, aby tuto funkci zahrnoval v nadcházející verzi Firefoxu.

Hansen a Maone také kritizovali Microsoft za to, že se rozhodl pro technické detaily technologie. "I když to implementovali, nedali jim pokyny, jak je skutečně použít," uvedl Hansen.

V e-mailem Microsoft uvedl, že plánuje postavit blogový příspěvek na anti-clickjacking která se objevila někdy tento týden a že spolupracovala se všemi významnými dodavateli prohlížečů ", abychom získali zpětnou vazbu a informace o implementaci značky clickjackingu před odesláním aplikace Internet Explorer 8 RC1.

Tento příspěvek by mohl být užitečný. V současné době vypadá, že "funkce neumožňuje uživateli chránit se," řekl Jeremiah Grossman, vedoucí technický pracovník společnosti White Hat Security.

Hansen uvedl, že vývojáři společnosti Microsoft nejprve navrhli jejich IE8 clickjacking opravit před několika měsíci, když poprvé popsal problém s nimi. "Odmítl jsem to jako dlouhodobé a životaschopné řešení pro kliknutí," řekl.