IE8'nin Clickjacking Fix Çok Fazla Yardım, Uzmanlar Say

Internet Explorer kullanıcılarını güçlü ve yeni bir Web tabanlı saldırıdan korumak için tasarlanan yeni Microsoft teknolojisi sorunu çözmeyecek, güvenlik uzmanları Salı günü belirtti.

Microsoft, teknolojiyi bir sonraki "sürüm adayı" test sürümünün bir parçası olarak piyasaya sürdü. Nesil Internet Explorer 8 tarayıcı, şirketin tıkırtı olarak bilinen bir saldırı için "tüketiciye hazır" koruma geliştirdiğini söyleyerek. Tıklatmada saldırganlar, kurbanları fark etmeden Web düğmelerine tıklamaları için özel bir Web programlaması kullanıyorlar. Saldırı çekmek zor, ama en kötüsü, tıkırtı, mali web sitelerinde hisse senedi işlemlerini yürütmek, yönlendirici veya güvenlik duvarı yapılandırmalarını değiştirmek veya birisini istenmeyen yazılımları indirmeye zorlamak gibi bazı çok kötü şeyler yapabilir.

Güvenlik uzmanları, Microsoft'un kendi Web düğmelerinin kötüye kullanılmasını engelleyen sayfalarına özel etiketler eklediğinde işe yarayan Microsoft yaklaşımının, IE kullanıcılarına yanlış bir güvenlik hissi vermesine neden olabileceğinden endişe ediyorlar.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

“Hayal gücünün herhangi bir kısmının tıklatılması bir çözüm değil. IE8 kullanan çok az kişi için belirsiz bir azaltıcı etken” diyor Robert Hansen, SecTheory danışmanlığının ve sorunu Microsoft'a ilk bildiren kişilerden biri. "Ama bunu ciddiye almaları ilginç."

Bazı Web siteleri kesinlikle Microsoft'un teknolojisini kullanarak, ziyaretçilerinin tıklamalarla vurulmasını engellemek için kullanabileceği gibi, HTML kodunun olması pek mümkün olmayan çok fazla alan var. güncellenmiş ve bilgisayar korsanları, saldırıları başlatabilir - yönlendirici yönetim arabirimlerini veya şirket uygulamalarını hedefleyebilir veya Microsoft'un düzeltmesini gerçekleştirmeye yetkisi olmayan Web sitelerini ziyaret edebilir. “Bu, herkesin bir şeyleri yapmanın doğru yolu olduğuna karar verse bile, yıllarca ve yıllarca eğitim alacağı bir çözüm” diyor Hansen.

Daha kötüsü, bazı kullanıcılar yanlış bir şekilde Firefox NoScript eklentisinin geliştiricisi olan Giorgio Maone'a göre, IE'yi kullandıkları için saldırı, genellikle tıklatma dahil olmak üzere birçok Web tabanlı saldırıdan en iyi koruma olarak kabul edilir. Salı günkü blogunda "IE meraklıları için kötü haber, kutunun dışında" hiçbir sihirbaz olmadığını "söyledi. "Doğru, herhangi bir 'tarayıcı eklentisi' gerektirmez … ama daha da sıkı bir gereklilik ile geliyor: Korunması gereken tüm siteler zaten yeni bir özel hack kabul etmiş olmalı, yani bir son kullanıcının doğrulayabileceği bir şey, "

NoScript, kullanıcıların Firefox tarayıcısındaki komut dosyası dillerinin kullanımını seçici olarak engellemesini sağlar. Tıklama işlemi kod yazmayı gerektirdiğinden, NoScript etkin olduğunda saldırı çalışmaz.

Aylar boyunca, Maone'un eklentisi tıklamaların engellenmesi için en iyi bilinen teknolojidir. Ancak IE 8 test koduyla Microsoft'un kendi alternatifi var.

Maone, duruma uyum sağlamak için, bir uyumluluk özelliği geliştiriyor. Böylece, NoScript kullanıcıları IE tarafından kullanılan aynı Web kodundan yararlanabiliyor ve Şu anda bu özelliğin Firefox'un yeni bir sürümünde yer alması için lobi yapıyor.

Hansen ve Maone, Microsoft'un teknolojinin teknik ayrıntılarını sürdürdüğü için eleştirdi. “Bunu uygulasalar bile, aslında onu nasıl kullanacaklarına dair rehberlik etmediler,” dedi. ”

Microsoft, e-postayla gönderilen bir bildiride, anti-clickjacking üzerine bir blog yazısı koymayı planladığını söyledi. Bu hafta bir özelliği var ve Internet Explorer 8 RC1'i göndermeden önce tıklama çubuğu etiketinin uygulanmasına ilişkin geri bildirim ve girdi almak için tüm büyük tarayıcı satıcılarıyla çalışmıştı. "

Bu yazı yararlı olabilir. Her şey şu anda olduğu gibi, "Bu özellik kullanıcının kendini korumaya izin vermiyor" diyor White Hat Security ile teknoloji baş teknoloji görevlisi Jeremiah Grossman.

Hansen, Microsoft geliştiricilerinin, ilk olarak sorunu kendilerine ilk kez tanımladıklarında IE8 tıklama düzeltme önerisini ilk önce sunduklarını söyledi. “Bunu tıklatma için uzun vadeli, uygun bir çözüm olarak görmedim” dedi.