Firefox Extension Blocks Farlig Web Attack

NoScript er et lille program, der integreres i Firefox. Det blokerer scripts i programmeringssprog som JavaScript og Java fra eksekvering på usikre websider. Scripterne kan bruges til at starte et angreb på en pc.

Den nyeste version af NoScript, version 1.8.2.1, stopper såkaldt "clickjacking", hvor en person, der surfer på webklik på et ondsindet, usynligt link uden

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Clickjacking har været kendt i flere år, men er opmærksom på igen efter to sikkerhedsforskere, Robert Hansen og Jeremiah Grossman, advarede sidste måned om nye scenarier, der kunne kompromittere en persons privatliv eller endnu værre, stjæle penge fra en bankkonto.

Clickjacking er desværre muligt på grund af et grundlæggende designelement i HTML, som tillader websteder at integrere indhold fra andre websider, sagde Maone. Næsten alle webbrowsere er sårbare over for et clickjacking-angreb.

"Det er en meget vanskelig ting at reparere, fordi det er en del af webens meget stof og browseren," sagde Maone.

Det indlejrede indhold kan være usynligt, men en person kan stadig ubevidst interagere med det. Et clickjacking-angreb drager fordel af det ved at narre en bruger til at klikke på en knap, der ser ud til at gøre noget, men faktisk gør noget helt anderledes.

Clickjacking kan også opnås ved at manipulere plug-ins af andre applikationer, som f.eks. Flash-program og Microsofts Silverlight. For eksempel har forskere i de seneste dage vist, at det er muligt for et clickjacking-angreb at aktivere en persons webkamera og mikrofon uden deres viden.

I en rådgivning på tirsdag sagde Adobe, at det vil udstede en patch til Flash ved udgangen af måneden.

Den nye forbedring til NoScript, kaldet ClearClick, kan registrere, om der er et skjult embedded element på websiden. Det viser så en advarselsmeddelelse, der spørger brugeren, hvis de stadig vil klikke på den.

Maone sagde ClearClick vil sandsynligvis stoppe alle clickjacking forsøg. NoScript er kun til Firefox-browseren, så brugere af Microsofts Internet Explorer - den mest anvendte browser i verden - er sårbare.

Webstedsejere kan imidlertid tage et skridt for at forhindre, at deres brugere bliver offer, Maone sagde. Programmører kan bruge et script på deres websteder, der kontrollerer for at se, om en webside er indlejret på en anden side. Hvis det er tilfældet, tvinger scriptet den gode webside foran, for at forhindre clickjacking, sagde Maone.

Teknikken hedder "frembusting". Ebays online betaltjeneste, PayPal, som ofte er målrettet af cyberkriminelle, har allerede implementeret frembrud, sagde Maone. NoScript vil tillade et frembrudsscript at køre, sagde Maone.

"Det bedste der kan ske er, at webstedsejere begynder at tænke mere om sikkerhed," sagde Maone. "Det er vigtigt, at webstedsejere spredes ordet, som de skal implementere frembrud."

Clickjacking er et alvorligt, potentielt langsigtet problem for browserudviklere. Siden angrebet aktiveres af en funktion i HTML, kræver det ændringer i HTML-specifikationen.

Webstandardgrupper arbejder for øjeblikket på HTML 5, en specifikation, der vil indarbejde nye funktioner i programmeringssproget for at imødekomme fremtidens webdesign. Men standardprocessen bevæger sig langsomt, og ændringer til HTML kan ødelægge eksisterende websider, siger Maone.

"For brugeren er jeg bange for, at der ikke er nogen løsning, men NoScript for tiden," sagde han.