Firefox Eklenti Blokları Tehlikeli Web Saldırısı

Popüler bir ücretsiz Firefox tarayıcısının güvenlik aracı, bugün Web'in karşı karşıya olduğu en tehlikeli ve sorunlu güvenlik sorunlarından birini engellemek için yükseltildi.

NoScript, Firefox'a entegre edilen küçük bir uygulamadır. JavaScript ve Java gibi programlama dillerinde, güvenilir olmayan Web sayfalarında yürütülecek komut dosyalarını engeller. Komut dosyaları, bir PC'ye saldırı başlatmak için kullanılabilir.

No.8'in en son sürümü, 1.8.2.1 sürümü, Web'e göz atan bir kullanıcının, kötü niyetli ve görünmez bir bağlantıya tıkladığı "clickjacking" kelimesini durdurur. Bunu fark eden Giorgio Maone, programı yazan ve sürdüren bir İtalyan güvenlik araştırmacısı olduğunu söyledi.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Clickjacking birkaç yıldan beri biliniyordu ancak tekrar dikkat çekiyor. İki güvenlik araştırmacısı olan Robert Hansen ve Jeremiah Grossman, geçen ay bir kişinin mahremiyetinden ödün verebilecek yeni senaryolar konusunda uyardı ya da daha da kötüsü bir banka hesabından para çaldı.

Ne yazık ki, HTML'deki temel tasarım özelliğinden dolayı tıklatma yapmak mümkün. Maone, Web sitelerinin diğer Web sayfalarından içerik yerleştirmesine izin verdiğini söyledi. Neredeyse tüm Web tarayıcıları bir tıklama saldırısına karşı savunmasız durumdalar.

"Düzeltmek çok zor bir şey çünkü Web'in ve tarayıcının kumaşının bir parçası." Dedi.

Gömülü içerik görünmez olabilir ancak Bir kişi hala farkında olmadan onunla etkileşime girebilir. Bir tıklatma saldırısı, bir kullanıcıyı bir işlev gibi görünen bir düğmeyi tıklatmakla kandırmaktan ancak aslında tamamen farklı bir şey yapmasından yararlanır.

Clickjacking, Adobe'ninki gibi diğer uygulamaların eklentilerini de işleyerek gerçekleştirilebilir. Flash programı ve Microsoft'un Silverlight. Örneğin, son günlerde araştırmacılar, bir kullanıcının Web kamerasını ve mikrofonunu bilgisiz bir şekilde açmak için tıklatma saldırısı yapmanın mümkün olduğunu gösterdi.

Salı günü bir danışma belgesinde Adobe, Flash'ın sona ermesi için bir yama yayınlayacağını açıkladı. ay.

ClearClick olarak adlandırılan NoScript'teki yeni iyileştirme, Web sayfasında gizli, gömülü bir öğe olup olmadığını algılayabilir. Daha sonra, kullanıcıya hala tıklamak isteyip istemediklerini soran bir uyarı mesajı görüntüler.

Maone, ClearClick'in tüm tıklama girişimlerini durduracağını söyledi. NoScript sadece Firefox tarayıcısı içindir, bu nedenle Microsoft'un Internet Explorer kullanıcıları (dünyanın en çok kullanılan tarayıcısı) savunmasızdırlar.

Web sitesi sahipleri, kullanıcılarının mağdurun düşmesini engellemek için bir adım atabilir. Maone dedi. Programcılar, bir Web sayfasının başka bir sayfaya gömülü olup olmadığını kontrol eden Web sitelerinde bir komut dosyası kullanabilir. Öyleyse, betik iyi Web sayfasını öne doğru zorlar ve tıklamayı önler, Maone dedi.

Teknik "çerçeveleştirme" olarak adlandırılır. Mao, Ebay'ın sık sık sanal suçlular tarafından hedef alınan çevrimiçi ödeme hizmeti olan PayPal'ın çerçevelemeyi hayata geçirdiğini söyledi. Maone, Nopoint'in bir çerçeve komut dosyasının çalışmasına izin vereceğini söyledi.

"Olabilecek en iyi şey, Web sitesi sahiplerinin güvenlik konusunda daha dikkatli düşünmeye başlaması." Dedi. "Web sitesi sahiplerinin çerçevelemeyi gerçekleştirmeleri gereken sözcüğü yaymaları önemlidir."

Clickjacking tarayıcı geliştiricileri için ciddi, potansiyel olarak uzun vadeli bir sorundur. Saldırı HTML'deki bir özellik tarafından etkinleştirildiğinden, HTML belirtiminde değişiklikler yapılmasını gerektirir.

Web standartları grupları şu anda gelecekteki Web tasarımını barındırmak için programlama diline yeni özellikleri dahil edecek bir özellik olan HTML 5 üzerinde çalışıyor. Ancak standartlar süreci yavaş hareket ediyor ve HTML'deki değişiklikler mevcut Web sayfalarını kırıyor olabilir dedi.

"Kullanıcı için, şu an için bir düzeltme yok ama şu an için NoScript var" dedi.