Android

Исправление ошибок в IE8 не очень помогает, эксперты говорят

Bug Bounty Hunting - iframe Injection & HTML Injection

Bug Bounty Hunting - iframe Injection & HTML Injection
Anonim

Microsoft выпустила эту технологию как часть ранней тестовой версии релиза следующего -генерирование браузера Internet Explorer 8, в котором говорилось, что компания разработала защищенную от потребителя защиту для атаки, известной как clickjacking. В clickjacking злоумышленники используют специальное веб-программирование, чтобы обмануть жертв нажатием веб-кнопок, не осознавая этого. Атака тяжелая, но в худшем случае кликнинг может сделать некоторые очень неприятные вещи, такие как проведение биржевых торгов на финансовых веб-сайтах, изменение настроек маршрутизатора или брандмауэра или даже принуждение кого-то к загрузке нежелательного программного обеспечения.

проблема настолько велика, что эксперты по безопасности опасаются, что подход Microsoft, который работает только тогда, когда разработчики веб-сайтов добавляют специальные теги на свои страницы, которые не позволяют использовать их собственные веб-кнопки, могут в конечном итоге дать пользователям IE ложное чувство безопасности.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

«Это не решение для кликнинга с помощью любого фрагмента воображения. Это очень смягчающий фактор для очень немногих людей, которые используют IE8», - сказал Роберт Хансен, генеральный директор консалтинга SecTheory и одного из тех, кто впервые сообщил об этом Microsoft. «Но интересно, что они воспринимают это всерьез».

Хотя некоторые веб-сайты, безусловно, будут использовать технологию Microsoft, чтобы не допустить, чтобы их посетители IE пострадали от clickjacking, просто слишком много других областей, где HTML-код вряд ли будет обновленные и хакеры могут запускать атаки - нацеливать на административные интерфейсы маршрутизатора или корпоративные приложения или идти после того, как веб-сайты, которые не получили возможности для исправления Microsoft. «Это решение, которое, даже если каждый решит, что это правильный способ сделать что-то, все равно потребуются годы и годы образования», - сказал Хансен.

Хуже того, некоторые пользователи могут ошибочно полагать, что они защищены от атака только потому, что они используют IE, по словам Джорджо Маоне, разработчика плагина Firefox NoScript, который, как правило, считается лучшей защитой от многих сетевых атак, включая clickjacking. «Плохая новость для энтузиастов IE заключается в том, что у них нет никакой защиты от« защиты », - писал он в своем блоге во вторник. «Правда, это не требует каких-либо« надстроек браузера »… но в нем есть еще более строгое требование: все охраняемые сайты должны уже принять новый проприетарный взломать, то есть то, чего не может проверить конечный пользователь, не говоря уже о принудительном исполнении ».

NoScript позволяет пользователям выборочно блокировать использование языков сценариев в браузере Firefox. Поскольку clickjacking требует сценариев, атака не работает, когда NoScript включен.

В течение нескольких месяцев плагин Maone был самой известной технологией для предотвращения щелчка мышью. Однако с тестовым кодом IE 8 у Microsoft есть своя альтернатива.

Чтобы помочь ситуации, Maone разрабатывает функцию совместимости, чтобы пользователи NoScript могли использовать тот же веб-код, который используется IE, и он теперь лоббирует включение этой функции в предстоящую версию Firefox.

Хансен и Маоун также критиковали Microsoft за то, что она остановилась на технических подробностях этой технологии. «Несмотря на то, что они внедрили это, они не дали рекомендаций о том, как на самом деле использовать его», - сказал Хансен.

В заявлении по электронной почте Microsoft заявила, что планирует опубликовать сообщение в блоге об анти-clickjacking когда-то на этой неделе и что он работал со всеми основными поставщиками браузеров », чтобы получить обратную связь и ввести информацию о нашей реализации тега clickjacking перед отправкой Internet Explorer 8 RC1.»

Это сообщение может быть полезно. Как сейчас обстоят дела, похоже, что «эта функция не позволяет пользователю защитить себя», - сказал Джеремиа Гроссман, главный технический директор White Hat Security.

Хансен сказал, что разработчики Microsoft впервые предложили свое исправление для IE8 для IE8 несколько месяцев назад, когда он впервые описал проблему для них. «Я отклонил это как не долгосрочное, жизнеспособное решение для кликнинга», - сказал он.