Blok Tambahan Firefox Serangan Web Berbahaya

alat keselamatan untuk penyemak imbas Firefox telah dinaik taraf untuk menyekat salah satu masalah keselamatan yang paling berbahaya dan menghadapi masalah hari ini.

NoScript adalah aplikasi kecil yang terintegrasi ke dalam Firefox. Ia menyekat skrip dalam bahasa pengaturcaraan seperti JavaScript dan Java daripada melaksanakan pada laman web yang tidak dipercayai. Skrip boleh digunakan untuk melancarkan serangan pada PC.

Pembebasan terkini NoScript, versi 1.8.2.1, akan menghentikan apa yang disebut "clickjacking," di mana seseorang melayari klik Web pada pautan yang tidak berniat jahat

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Clickjacking telah diketahui selama beberapa tahun tetapi menarik perhatian sekali lagi selepas itu Kedua-dua penyelidik keselamatan, Robert Hansen dan Jeremiah Grossman, memberi amaran bulan lalu mengenai senario baru yang dapat menjejaskan privasi seseorang atau lebih buruk lagi, mencuri wang dari akaun bank.

Malangnya, klikjacking mungkin disebabkan oleh ciri reka bentuk asas dalam HTML membolehkan laman web untuk membenamkan kandungan dari laman web lain, kata Maone. Hampir semua penyemak imbas web terdedah kepada serangan klikjacking.

"Ini adalah perkara yang sangat sukar untuk dibaiki kerana ia adalah sebahagian daripada fabrik Web dan pelayar," kata Maone.

Kandungan tertanam boleh menjadi tidak kelihatan tetapi seseorang masih tidak dapat berinteraksi dengannya. Satu serangan klikjacking mengambil kesempatan daripada itu dengan menipu pengguna untuk mengklik pada butang yang muncul untuk melakukan beberapa fungsi tetapi sebenarnya melakukan sesuatu yang sama sekali berbeza.

Clickjacking juga boleh dicapai dengan memanipulasi plug-in aplikasi lain, seperti Adobe's Program Flash dan Microsoft Silverlight. Sebagai contoh, penyelidik pada hari-hari kebelakangan ini telah menunjukkan kemungkinan serangan serangan klik untuk menghidupkan kamera Web dan mikrofon seseorang tanpa pengetahuan mereka.

Dalam nasihat pada hari Selasa, Adobe berkata ia akan mengeluarkan patch untuk Flash pada akhir bulan itu.

Pembaikan baru kepada NoScript, yang dipanggil ClearClick, dapat mengesan jika terdapat elemen tertanam tersembunyi di dalam laman Web. Ia kemudiannya memaparkan mesej amaran yang meminta pengguna jika mereka masih mahu mengklik padanya.

Maone berkata ClearClick kemungkinan akan menghentikan semua cubaan clickjacking. NoScript hanya untuk pelayar Firefox, jadi pengguna Internet Explorer Microsoft - pelayar yang paling banyak digunakan di dunia - terdedah.

Pemilik laman web bagaimanapun boleh mengambil satu langkah untuk menghalang pengguna mereka daripada menjadi mangsa, Maone berkata. Pengaturcara boleh menggunakan skrip pada laman web mereka yang memeriksa untuk mengetahui sama ada laman web tertanam di laman lain. Jika ya, skrip itu memaksa halaman Web yang baik di depan, mencegah klikjacking, kata Maone.

Teknik ini disebut "framebusting." Perkhidmatan pembayaran dalam talian Ebay, PayPal, yang sering disasarkan oleh penjenayah siber, telah pun dilaksanakan dengan pantas, kata Maone. NoScript akan membenarkan skrip framebusting dijalankan, kata Maone.

"Perkara terbaik yang boleh terjadi ialah pemilik laman web mula berfikir lebih berhati-hati tentang keselamatan," kata Maone. "Adalah penting bahawa pemilik laman web menyebarkan perkataan bahawa mereka harus melaksanakan framebusting."

Clickjacking adalah masalah serius, berpotensi jangka panjang untuk pemaju pelayar. Sejak serangan itu diaktifkan oleh suatu ciri dalam HTML, ia memerlukan perubahan kepada spesifikasi HTML.

Kumpulan piawai web sedang menjalankan HTML 5, suatu spesifikasi yang akan memasukkan ciri-ciri baru ke dalam bahasa pengaturcaraan untuk mengakomodasi reka bentuk Web masa depan. Tetapi proses piawai bergerak dengan perlahan, dan perubahan pada HTML dapat memecah halaman Web yang ada, kata Maone.

"Bagi pengguna, saya tidak ada masalah tapi NoScript untuk saat ini," katanya.