IE8's Clickjacking Fix Not much help, experts say

Inilabas ng Microsoft ang teknolohiya bilang bahagi ng isang maagang "release release" -generasyon sa Internet Explorer 8 browser, na nagsasabi na ang kumpanya ay nakabuo ng proteksyon ng "consumer-ready" para sa isang atake na kilala bilang clickjacking. Sa clickjacking, gumagamit ang mga attackers ng espesyal na Web programming upang linlangin ang mga biktima sa pag-click sa mga pindutan ng Web nang hindi napagtatanto ito. Ang pag-atake ay mahirap upang makuha, ngunit sa pinakamasama, clickjacking ay maaaring gumawa ng ilang mga napaka-bastos na mga bagay, tulad ng execute stock trades sa mga pinansiyal na mga Web site, baguhin ang mga configuration ng router o firewall, o kahit na pilitin ang isang tao upang i-download ang mga hindi gustong software. ang problema ay napakalaki na ang mga eksperto sa seguridad ay nababahala na ang diskarte ng Microsoft, na kung saan ay gumagana lamang kapag ang mga developer ng Web site ay nagdaragdag ng mga espesyal na tag sa kanilang mga pahina na pumipigil sa kanilang sariling mga pindutan sa Web na maling magamit, maaaring magtapos sa pagbibigay ng mga gumagamit ng IE ng maling kamalayan.

[Ang karagdagang pagbasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Hindi ito isang solusyon sa clickjacking sa pamamagitan ng anumang kahabaan ng imahinasyon. Ito ay isang vaguely mitigating kadahilanan para sa napakakaunting mga tao na gumagamit ng IE8," sabi ni Robert Hansen, CEO ng pagkonsulta sa Seksiyon, at isa sa mga taong unang nag-ulat ng isyu sa Microsoft. "Ngunit kagiliw-giliw na pinag-aaralan nila ito."

Habang ang ilang mga Web site ay tiyak na gumamit ng teknolohiya ng Microsoft upang maiwasan ang kanilang mga bisita sa IE na ma-hit sa clickjacking, mayroong maraming iba pang mga lugar kung saan ang HTML code ay malamang na hindi update at mga hacker ay maaaring maglunsad ng pag-atake - pagta-target ng mga interface ng router na pang-administratibo o mga application ng korporasyon, o pagpunta pagkatapos ng mga Web site na hindi nakuha sa paligid sa pagpapatupad ng pag-aayos ng Microsoft. "Ito ay isang solusyon na, kahit na ang lahat ay nagpasiya na ito ang tamang paraan upang magawa ang mga bagay, ito ay kukuha pa ng mga taon at taon ng pag-aaral," sabi ni Hansen.

Mas masahol pa, ang ilang mga gumagamit ay maaaring maling isipin na sila ay protektado mula sa atake dahil lamang sa ginagamit nila ang IE, ayon kay Giorgio Maone, ang nag-develop ng plugin ng Firefox na NoScript, na sa pangkalahatan ay isinasaalang-alang ang pinakamahusay na proteksyon mula sa maraming pag-atake sa Web, kabilang ang clickjacking. "Ang masamang balita para sa mga taong mahilig sa IE ay wala silang magic 'sa labas ng proteksyon ng kahon," isinulat niya sa kanyang blog Martes. "Totoo, hindi ito nangangailangan ng anumang 'browser add-on' … ngunit ito ay may mas mahigpit na kinakailangan: ang lahat ng mga site na protektado ay dapat na pinagtibay ng isang bagong hack sa pagmamay-ari, ie isang bagay na maaaring i-verify ng end-user, pabayaan mag-isa ang pagpapatupad. "

Hinahayaan ng NoScript na mapipigil ng mga user ang paggamit ng mga wika sa pag-script sa loob ng browser ng Firefox. Dahil ang pag-click sa pag-click ay nangangailangan ng pag-script, ang pag-atake ay hindi gumagana kapag pinagana ni NoScript.

Para sa mga buwan, ang plug-in ni Maone ay ang pinakamahusay na kilalang teknolohiya para sa paghadlang sa clickjacking. Sa IE8 test code, gayunpaman, sa wakas ay may sariling kapalit ang Microsoft.

Upang tulungan ang sitwasyon, ang Maone ay bumuo ng isang tampok sa pagiging tugma upang ang mga gumagamit ng NoScript ay makagagamit sa parehong Web code na ginagamit ng IE, at siya ngayon ay naglalakad na magkaroon ng tampok na ito na kasama sa isang paparating na bersyon ng Firefox.

Hansen at Maone din criticized Microsoft para sa humahawak sa teknikal na mga detalye ng teknolohiya. "Kahit na ipinatupad nila iyon, hindi sila nagbigay ng patnubay kung paano talaga gamitin ito," sinabi ni Hansen.

Sa isang pahayag sa e-mail, sinabi ng Microsoft na pinlano nito na ilagay ang isang blog post sa anti-clickjacking Nagtatampok ito minsan sa linggong ito at na nagtrabaho ito sa lahat ng mga pangunahing vendor ng browser "upang makakuha ng feedback at input sa aming pagpapatupad ng clickjacking tag bago ipadala ang Internet Explorer 8 RC1."

Ang post na iyon ay maaaring maging kapaki-pakinabang. Tulad ng mga bagay na tumayo ngayon, mukhang "hindi pinapayagan ng tampok ang gumagamit na protektahan ang kanilang sarili," sabi ni Jeremiah Grossman, chief technology officer na may White Hat Security.

Sinabi ni Hansen na unang nagpanukala ng mga developer ng Microsoft ang kanilang pag-click sa IE8 clickjacking ilang buwan na ang nakakaraan nang una niyang inilarawan ang problema sa kanila. "Inalis ko ito bilang hindi isang pangmatagalang, mabubuhay na solusyon sa clickjacking," sinabi niya.