Блоки расширения Firefox Опасная веб-атака

Популярный бесплатный инструмент безопасности для браузера Firefox был обновлен, чтобы блокировать одну из самых опасных и тревожных проблем безопасности, с которыми сталкивается Интернет сегодня.

NoScript - небольшое приложение, которое интегрируется в Firefox. Он блокирует выполнение сценариев на языках программирования, таких как JavaScript и Java, на ненадежных веб-страницах. Сценарии можно использовать для запуска атаки на ПК.

Последняя версия NoScript, версия 1.8.2.1, остановит так называемое «clickjacking», когда человек, просматривающий веб-сайт, нажимает на злонамеренную невидимую ссылку без осознавая это, сказал Джорджио Маоне, итальянский исследователь по безопасности, который написал и поддерживает программу.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Clickjacking известен уже несколько лет, но снова привлекает внимание после два исследователя безопасности Роберт Хансен и Джеремия Гроссман предупредили в прошлом месяце о новых сценариях, которые могут поставить под угрозу конфиденциальность человека или, что еще хуже, украсть деньги с банковского счета.

К сожалению, кликнинг возможен из-за фундаментальной функции дизайна в HTML, позволяет веб-сайтам вставлять контент с других веб-страниц, сказал Маоне. Почти все веб-браузеры уязвимы для атаки с помощью clickjacking.

«Это очень сложно исправить, потому что это часть самой ткани Интернета и браузера», - сказал Маоне.

Встроенный контент может быть невидимым, но человек может все еще бессознательно взаимодействовать с ним. Атака с использованием кликов использует это, обманывая пользователя нажатием кнопки, которая, как представляется, выполняет какую-то функцию, но на самом деле делает что-то совершенно другое.

Clickjacking также можно выполнить, манипулируя плагинами других приложений, такими как Adobe Flash-программа и Silverlight от Microsoft. Например, исследователи в последние дни показали, что атака с помощью clickjacking может превратить веб-камеру и микрофон человека без их ведома.

Во вторник, во вторник, Adobe сообщила, что он выпустит патч для Flash к концу месяц.

Новое усовершенствование NoScript, называемое ClearClick, может обнаружить, есть ли скрытый встроенный элемент на веб-странице. Затем он отображает предупреждающее сообщение с запросом пользователя, если он все еще хочет щелкнуть по нему.

Maone сказал, что ClearClick, скорее всего, остановит все попытки кликнинга. NoScript предназначен только для браузера Firefox, поэтому пользователи Microsoft Internet Explorer - самого популярного браузера в мире - уязвимы.

Однако владельцы веб-сайтов могут сделать один шаг, чтобы не допустить, чтобы их пользователи стали жертвами, - сказал Маон. Программисты могут использовать сценарий на своих веб-сайтах, который проверяет, встроена ли веб-страница на другую страницу. Если это так, сценарий заставляет хорошую веб-страницу впереди, предотвращая щелчок мышью, сказал Мейн.

Эта техника называется «фреймворком». Как сообщает Maone, услуга онлайн-платежей Ebay, PayPal, которая часто нацелена на киберпреступников, уже реализовала фреймверк. NoScript позволит запустить сценарий для фреймов, сказал Maone.

«Самое лучшее, что может случиться, это то, что владельцы веб-сайтов начинают более тщательно думать о безопасности», - сказал Маоне. «Важно, чтобы владельцы веб-сайтов распространяли слово, что им следует реализовать фреймворк».

Clickjacking - серьезная, потенциально долгосрочная проблема для разработчиков браузеров. Поскольку атака активируется функцией внутри HTML, она требует изменений в спецификации HTML.

В настоящее время группы веб-стандартов работают над HTML 5, спецификацией, которая будет включать новые функции в язык программирования для размещения будущего веб-дизайна. Но процесс стандартов движется медленно, и изменения в HTML могут нарушить существующие веб-страницы, сказал Maone.

«Для пользователя я боюсь, что в настоящее время нет никакого исправления, кроме NoScript», - сказал он.