Поиск по этому блогу

28 янв. 2009 г.

Средства борьбы с клик-джекингом в IE8 недостаточно эффективны

Во вторник многие аналитики вынесли неутешительный для Microsoft вердикт – новая технология этой компании, призванная защитить пользователей Internet Explorer от клик-джекинга, не решает поставленной перед нею задачи.

Microsoft включила данную функцию в пре-релизную версию браузера Internet Explorer 8, заявив при этом, что предлагает "готовую к употреблению" защиту от клик-джекинга. При реализации этой атаки хакеры с помощью специальных методов веб-программирования заставляют пользователей кликать по кнопкам, которые те не видят, что чревато самыми тяжелыми последствиями, начиная от загрузки нежелательных приложений, изменения конфигураций роутеров и файерволов и заканчивая биржевыми махинациями на финансовых сайтах.

Проблема настолько серьезна, что сетевые эксперты выражают свою озабоченность в связи с тем, что предложенные Microsoft меры могут привести к появлению у пользователей IE8 ложного чувства безопасности, хотя для того, чтобы данная функция была эффективной, со стороны веб-мастеров необходимо добавление специальных тэгов, защищающих каждый конкретный сайт от злоупотреблений.

Глава SecTheory Роберт Хансен по этому поводу заявил, что данная технология не решает проблему клик-джекинга ни в коей мере, и является лишь не очень значительным инструментом, пригодным для весьма ограниченного числа людей. Больше всего его удивляет, насколько серьезно в Microsoft относятся к своей затее.

Несмотря на то, что многие сайты наверняка внедрят технологию Microsoft для защиты себя от клик-джекинга, существует огромное количество областей, где HTML-код с большой долей вероятности не обновится, чем хакеры не преминут воспользоваться.

Солидарен с ним и разработчик одного из лучших защитных плагинов для Firefox Джорджио Маоне. Хуже того, автор NoScript полагает, что поклонники IE не получили волшебной защиты "прямо из коробки", и хотя предложенная редмондским гигантом методика не требует установки каких-либо дополнений, для нормальной работы необходимо нечто намного большее – чтобы все сайты в мире уже имели ее встроенную поддержку. Тем не менее, Маоне разрабатывает инструментарий, обеспечивающий совместимость с новой идеей Microsoft и лоббирует его внедрение в следующий релиз Firefox.

http://www.xakep.ru/post/46933/default.asp

Комментариев нет:

Sociable