Firefox Extension Blocks Delicious Web Attack

NoScript ay isang maliit na application na sumasama sa Firefox. Ini-block ng mga script sa mga wika ng programming tulad ng JavaScript at Java mula sa pagpapatupad sa mga pahina ng mga hindi pinagkakatiwalaang Web. Ang pinakabagong mga release ng NoScript, bersyon 1.8.2.1, ay titigil sa tinatawag na "clickjacking," kung saan ang isang tao ay nagba-browse sa mga pag-click sa Web sa isang nakakahamak, hindi nakikitang link na walang

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang clickjacking ay kilala sa loob ng ilang taon ngunit ay nakapagpapagaling ng pansin pagkatapos Ang dalawang mananaliksik ng seguridad, si Robert Hansen at Jeremiah Grossman, ay nagbabala sa nakaraang buwan ng mga bagong sitwasyon na maaaring makompromiso sa privacy ng isang tao o mas masahol pa, nakakuha ng pera mula sa isang bank account.

Sa kasamaang palad, ang clickjacking ay posible dahil sa isang pangunahing tampok sa disenyo sa HTML na nagpapahintulot sa mga Web site na i-embed ang nilalaman mula sa iba pang mga pahina sa Web, sinabi ni Maone. Halos lahat ng mga browser sa Web ay mahina sa pag-atake ng pag-click.

"Ito ay isang napakahirap na bagay na ayusin dahil ito ay bahagi ng mismong tela ng Web at ang browser," sabi ni Maone.

Ang naka-embed na nilalaman ay maaaring hindi makita ang isang tao ay maaaring hindi pa rin nakikipag-ugnayan dito. Ang isang pag-click sa pag-atake sa pag-click ay nagsasamantala sa pamamagitan ng pag-tricking ng isang user sa pag-click sa isang pindutan na lumilitaw upang gawin ang ilang function ngunit talagang may isang bagay na lubos na naiiba.

Clickjacking ay maaari ding magawa sa pamamagitan ng pagmamanipula ng mga plug-in ng iba pang mga application, tulad ng Adobe's Flash na programa at Silverlight ng Microsoft. Halimbawa, ang mga mananaliksik sa mga nakalipas na araw ay nagpakita na posible ito para sa isang clickjacking atake upang i-on ang Web camera at mikropono ng isang tao na walang kaalaman.

Sa isang advisory noong Martes, sinabi ni Adobe na magbibigay ito ng patch para sa Flash sa katapusan ng ang buwan.

Ang bagong pagpapabuti sa NoScript, na tinatawag na ClearClick, ay maaaring makita kung mayroong isang nakatagong, naka-embed na elemento sa loob ng pahina ng Web. Pagkatapos nito ay nagpapakita ng babalang mensahe na humihiling sa gumagamit kung gusto pa nilang mag-click dito.

Sinabi ni Maone na malamang na ihinto ng ClearClick ang lahat ng mga pagtatangka sa clickjacking. Ang NoScript ay para lamang sa browser ng Firefox, kaya ang mga gumagamit ng Internet Explorer ng Microsoft - ang pinaka-ginagamit na browser sa mundo - ay mahina.

Ang mga may-ari ng web site, gayunpaman, ay maaaring gumawa ng isang hakbang upang pigilan ang kanilang mga gumagamit na mahulog, Sinabi ni Maone. Ang mga programmer ay maaaring gumamit ng isang script sa kanilang mga Web site na sumusuri upang makita kung ang isang Web page ay naka-embed sa ibang pahina. Kung gayon, ang script ay pumipilit sa magandang Web page sa harap, na pumipigil sa clickjacking, sinabi ni Maone.

Ang pamamaraan ay tinatawag na "framebusting." Ang serbisyo sa online na pagbabayad ng Ebay, ang PayPal, na madalas na naka-target sa mga cybercriminal, ay nagpapatupad na ng mga pag-uusapan, sinabi ni Maone. Ang pinakahuling bagay na maaaring mangyari ay ang mga may-ari ng Web site ay magsimulang mag-isip nang higit pa tungkol sa seguridad, "sabi ni Maone. "Mahalaga na ang mga may-ari ng Web site ay kumakalat ng salita na dapat nilang ipatupad na framebusting."

Clickjacking ay isang malubhang, potensyal na pang-matagalang problema para sa mga developer ng browser. Dahil ang pag-atake ay pinapagana ng isang tampok sa loob ng HTML, hinihingi nito ang mga pagbabago sa espesipikasyon ng HTML.

Mga pamantayan ng Web na grupo ay kasalukuyang nagtatrabaho sa HTML 5, isang pagtutukoy na magsasama ng mga bagong tampok sa programming language upang mapaunlakan ang hinaharap na disenyo sa Web. Ngunit ang proseso ng pamantayan ay gumagalaw nang dahan-dahan, at ang mga pagbabago sa HTML ay maaaring masira ang mga umiiral na mga pahina ng Web, sinabi ni Maone.

"Para sa mga gumagamit, natatakot ako na walang pag-aayos ngunit NoScript para sa oras na ito," sabi niya.