Perbaikan Clickjacking IE8 Tidak Banyak Bantuan, Pakar Katakan

Microsoft mengeluarkan teknologi sebagai sebahagian daripada versi ujian "calon pelepasan" yang akan datang -generasi pelayar Internet Explorer 8, dengan mengatakan bahawa syarikat itu telah membangunkan perlindungan "pengguna siap" untuk serangan yang dikenali sebagai clickjacking. Dalam clickjacking, penyerang menggunakan pengaturcaraan Web khas untuk menipu mangsa untuk mengklik butang Web tanpa menyedarinya. Serangan ini sukar untuk dilepaskan, tetapi pada yang paling buruk, clickjacking boleh melakukan beberapa perkara yang sangat jahat, seperti menjalankan perdagangan saham di laman web kewangan, mengubah konfigurasi router atau firewall, atau bahkan memaksa seseorang untuk memuat turun perisian yang tidak diinginkan. Masalahnya begitu besar sehingga ahli keselamatan bimbang pendekatan Microsoft, yang berfungsi hanya apabila pemaju laman web menambah tag khas ke halaman mereka yang menghalang butang Web mereka sendiri daripada disalahgunakan, mungkin akhirnya memberikan pengguna IE rasa aman palsu.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

"Ini bukan satu penyelesaian untuk mengklik penjelasan oleh sebarang imaginasi apa-apa. Ini adalah faktor yang sangat kecil bagi sesetengah orang yang menggunakan IE8," kata Robert Hansen, daripada perundingan SecTheory, dan salah satu daripada orang yang pertama kali melaporkan isu tersebut kepada Microsoft. "Tetapi menarik bahawa mereka mengambilnya dengan serius."

Walaupun sesetengah laman web pasti akan menggunakan teknologi Microsoft untuk menghalang pelawat IE mereka daripada dipukul dengan clickjacking, terdapat terlalu banyak kawasan lain di mana kod HTML tidak mungkin dikemaskini dan penggodam boleh melancarkan serangan - mensasarkan antara muka pentadbir penghala atau aplikasi korporat, atau mengikuti laman web yang tidak mendapat perhatian untuk melaksanakan penetapan Microsoft. "Ini adalah penyelesaian yang walaupun semua orang memutuskan bahawa ini adalah cara yang betul untuk melakukan sesuatu, ia masih akan mengambil masa bertahun-tahun dan pendidikan," kata Hansen.

Lebih buruk lagi, sesetengah pengguna mungkin tersilap berfikir bahawa mereka dilindungi dari Serangan hanya kerana mereka menggunakan IE, menurut Giorgio Maone, pemaju plugin NoScript Firefox, yang pada umumnya dianggap sebagai perlindungan terbaik dari banyak serangan berasaskan Web, termasuk clickjacking. "Berita buruk bagi peminat IE adalah bahawa mereka tidak ada sihir 'dari perlindungan kotak'," tulisnya di blognya Selasa. "Benar, ia tidak memerlukan apa-apa 'add-on browser' … tetapi ia datang dengan keperluan yang lebih ketat: semua tapak yang dilindungi mesti sudah menggunakan hack hak milik baru, iaitu sesuatu yang tidak dapat diverifikasi oleh pengguna akhir, apalagi menguatkuasakan. "

NoScript membolehkan pengguna secara selektif menyekat penggunaan bahasa skrip dalam pelayar Firefox. Oleh kerana clickjacking memerlukan skrip, serangan tidak berfungsi apabila NoScript diaktifkan.

Selama berbulan-bulan, plug-in Maone telah menjadi teknologi paling terkenal untuk menggagalkan klikjacking. Dengan kod ujian IE 8, bagaimanapun, Microsoft akhirnya mempunyai alternatif tersendiri.

Untuk membantu keadaan, Maone sedang membangunkan ciri keserasian supaya pengguna NoScript dapat memanfaatkan kod Web yang sama yang digunakan oleh IE, dan dia kini melobi untuk mempunyai ciri ini termasuk dalam versi Firefox yang akan datang.

Hansen dan Maone juga mengkritik Microsoft untuk menahan butiran teknikal teknologi. "Walaupun mereka melaksanakannya, mereka tidak memberi bimbingan mengenai bagaimana untuk menggunakannya," kata Hansen.

Dalam satu kenyataan e-mel, Microsoft berkata bahawa ia merancang untuk memasang jawatan blog pada anti-klikjacking Ciri-ciri ini pada minggu ini dan ia telah bekerja dengan semua vendor pelayar utama "untuk mendapatkan maklum balas dan masukan pada pelaksanaan tag clickjacking kami sebelum menghantar Internet Explorer 8 RC1."

Siaran itu mungkin berguna. Sebagai perkara yang berdiri sekarang, ia kelihatan seperti "ciri ini tidak membenarkan pengguna untuk melindungi diri mereka," kata Jeremiah Grossman, ketua pegawai teknologi dengan White Hat Security.

Hansen berkata bahawa pemaju Microsoft terlebih dahulu mencadangkan menetapkan clickjacking IE8 mereka beberapa bulan yang lalu ketika dia pertama kali menyifatkan masalah itu kepada mereka. "Saya menolaknya sebagai penyelesaian jangka panjang, berdaya maju untuk mengklik penjelasan," katanya.