פיירפוקס הרחבה בלוקים אינטרנט מסוכנים התקפה

NoScript הוא יישום קטן המשתלב לתוך פיירפוקס. זה חוסם סקריפטים בשפות תכנות כגון JavaScript ו- Java מ להורג על דפי אינטרנט לא מהימנים.

המהדורה האחרונה של NoScript, גרסה 1.8.2.1, תפסיק את מה שמכונה "קליקג'קינג", שבו אדם גולש באינטרנט לוחץ על קישור זדוני בלתי נראה, אומר ג'ורג'יו מאון, חוקר אבטחה איטלקי שכתב את התוכנית ומנהל אותה.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Clickjacking ידוע כבר מספר שנים אך הוא שובה את תשומת הלב שוב לאחר שני חוקרים בתחום האבטחה, רוברט הנסן וג'רמיה גרוסמן, הזהירו בחודש שעבר תרחישים חדשים שעלולים לפגוע בפרטיותו של אדם או אפילו גרוע יותר, לגנוב כסף מחשבון בנק.

למרבה הצער, Clickjacking אפשרי בשל תכונת עיצוב בסיסית ב- HTML מאפשר אתרי אינטרנט כדי להטביע תוכן מדפי אינטרנט אחרים, אמר Maone. כמעט כל דפדפני האינטרנט חשופים להתקפה של קליקים. "זה דבר מאוד קשה לתקן כי זה חלק מאריג האינטרנט והדפדפן", אומר מאון. "התוכן המוטבע יכול להיות בלתי נראה אבל אדם יכול עדיין לתקשר ביודעין עם זה. התקפת clickjacking מנצל את זה על ידי tricking משתמש ללחיצה על כפתור שנראה עושה קצת פונקציה, אבל למעשה עושה משהו אחר לגמרי.

Clickjacking יכול להיות מושלם גם על ידי מניפולציה plug-ins של יישומים אחרים, כגון Adobe של תוכנית פלאש ו- Silverlight של מיקרוסופט. לדוגמה, חוקרים בימים האחרונים הראו כי ניתן לבצע התקפת קליקים על מנת להדליק את מצלמת האינטרנט והמיקרופון של האדם ללא ידיעתם.

ביומון ביום שלישי, Adobe אמרה כי תפרסם תיקון עבור Flash עד סוף החודש.

השיפור החדש ל- NoScript, הנקרא ClearClick, יכול לזהות אם קיים רכיב מוסתר, מוטבע בתוך דף האינטרנט. לאחר מכן הוא מציג הודעת אזהרה המבקשת את המשתמש אם הם עדיין רוצים ללחוץ על זה.

מעון אמר ClearClick צפויה לעצור את כל הניסיונות clickjacking. NoScript הוא רק עבור דפדפן פיירפוקס, כך שמשתמשים של Internet Explorer של מיקרוסופט - הדפדפן הכי בשימוש בעולם - פגיעים.

בעלי אתר אינטרנט, עם זאת, יכולים לנקוט צעד אחד כדי למנוע מהמשתמשים שלהם ליפול קורבן, אמרה מאון. מתכנתים יכולים להשתמש בסקריפט באתרי האינטרנט שלהם שיבדוק אם דף אינטרנט מוטמע בדף אחר. אם כך, התסריט מאלץ את דף האינטרנט הטוב מלפנים, ומנע את הלחיצה על כפתור, אמר מאונה.

הטכניקה נקראת "framebusting". שירות התשלומים המקוון של Ebay, PayPal, המכוון לעתים קרובות על-ידי סייבר-פשיסטים, יישם כבר את המסגרת, אמר מאונה. נויסקריפ יאפשר לסקריפט מסודר לפעול, אמר מאונה. "הדבר הטוב ביותר שיכול לקרות הוא שבעלי אתרים מתחילים לחשוב יותר על האבטחה", אמר מעון. "חשוב שבעלי אתרי אינטרנט יפיצו את המלה שהם צריכים ליישם מסגרת."

לחיצה על קליקים היא בעיה רצינית וארוכת טווח עבור מפתחי דפדפן. מאחר שההתקפה מופעלת על ידי תכונה בתוך HTML, היא דורשת שינויים במפרט HTML.

קבוצות תקני אינטרנט פועלות כעת ב- HTML 5, מפרט שישלב תכונות חדשות לשפת התכנות כדי להתאים לעיצוב אתרים עתידי. אבל תהליך הסטנדרטים נע באיטיות, והשינויים ב- HTML יכולים לשבור את דפי האינטרנט הקיימים, אמר מאונה. "עבור המשתמש, אני חושש שאין כרגע תיקון אבל נוסקריפט בינתיים", הוא אומר.