IE8s Clickjacking Fix ikke meget hjælp, siger eksperter

Microsoft udgav teknologien som en del af en tidlig udgivelsestestudgave af sin næste -generation Internet Explorer 8-browseren og sagde, at virksomheden havde udviklet "forbrugerbeskyttet" beskyttelse til et angreb kendt som clickjacking. I klikjacking bruger angribere speciel webprogrammering til at narre ofre til at klikke på webknapper uden at indse det. Angrebet er svært at trække af, men i værste fald kan klikjacking gøre nogle meget grimme ting, som f.eks. Udføre lagerhandler på finansielle websteder, ændre router eller firewallkonfigurationer eller endda tvinge nogen til at downloade uønsket software. Problemet er så stort, at sikkerhedseksperter bekymrer sig over, at Microsofts tilgang, som kun virker, når webudviklerne tilføjer specielle tags til deres sider, der forhindrer deres egen webknapper i at blive misbrugt, kan ende med at give IE-brugere en falsk følelse af sikkerhed.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

"Det er ikke en løsning at klikkejacking på en hvilken som helst del af fantasien. Det er en svagt afbødende faktor for de få mennesker, der bruger IE8," siger Robert Hansen, CEO af SecTheory konsulentfirmaet, og en af ​​de personer, der først rapporterede problemet til Microsoft. "Men det er interessant, at de tager det alvorligt."

Mens nogle websteder sikkert vil bruge Microsofts teknologi til at forhindre, at deres IE-besøgende bliver ramt med clickjacking, er der simpelthen for mange andre områder, hvor HTML-kode usandsynligt er opdateret og hackere kunne starte angreb - målrettet mod administrative grænseflader eller firmaprogrammer eller gå efter websteder, der ikke har fundet sted for at implementere Microsofts løsning. "Dette er en løsning, som selv om alle beslutter, at dette er den rigtige måde at gøre tingene på, vil det stadig tage mange års uddannelse," siger Hansen.

Værre, nogle brugere kan fejlagtigt tro, at de er beskyttet mod angribe bare fordi de bruger IE, ifølge Giorgio Maone, udvikleren af ​​Firefox NoScript-plugin, som generelt betragtes som den bedste beskyttelse mod mange web-baserede angreb, herunder clickjacking. "De dårlige nyheder for IE-entusiaster er, at de ikke har nogen magisk beskyttelse ude af boksen", skrev han på sin blog tirsdag. "True, det kræver ikke nogen" browser add-on "… men det kommer med et endnu strengere krav: Alle de websteder, der skal beskyttes, skal allerede have vedtaget et nyt proprietært hack, dvs. noget, ingen slutbruger kan verificere, endsige håndhæve. "

NoScript lader brugerne selektivt blokere brugen af ​​skriptsprog i Firefox-browseren. Fordi clickjacking kræver scripting, virker angrebet ikke, når NoScript er aktiveret.

I måneder har Maone's plug-in været den mest kendte teknologi til at modvirke clickjacking. Med IE 8-testkoden har Microsoft endelig sit eget alternativ.

For at hjælpe situationen udvikler Maone en kompatibilitetsfunktion, således at NoScript-brugere vil kunne udnytte den samme webkode, der bruges af IE, og han lobbyvirker nu for at få denne funktion inkluderet i en kommende version af Firefox.

Hansen og Maone kritiserede også Microsoft for at holde fast på tekniske detaljer om teknologien. "Selvom de implementerede det, har de ikke givet vejledning om, hvordan man rent faktisk bruger det," sagde Hansen.

I en e-mail-erklæring sagde Microsoft, at det havde planer om at sætte et blogpost på anti-clickjacking funktionen engang i denne uge, og at det havde fungeret sammen med alle de store browser-leverandører "for at få feedback og input om vores implementering af clickjacking-taggen inden afsendelse af Internet Explorer 8 RC1."

Det pågældende indlæg kan være nyttigt. Som tingene står nu, ser det ud til at "funktionen tillader ikke brugeren at beskytte sig selv", siger Jeremiah Grossman, chefstekniker med White Hat Security.

Hansen sagde, at Microsoft-udviklere først foreslog deres IE8 clickjacking-løsning for flere måneder siden, da han først beskrev problemet for dem. "Jeg afskedede det som ikke en langsigtet, levedygtig løsning på clickjacking," sagde han.