ส่วนประกอบ

Firefox Extension Blocks การโจมตีบนเว็บที่ไม่ปลอดภัย

Download Firefox Addons As a File || download xpi files || firefox addos offline

Download Firefox Addons As a File || download xpi files || firefox addos offline
Anonim

เครื่องมือรักษาความปลอดภัยสำหรับเบราว์เซอร์ Firefox ได้รับการอัปเกรดเพื่อป้องกันปัญหาด้านความปลอดภัยที่เป็นอันตรายและหนักใจอย่างใดอย่างหนึ่งที่หันหน้าไปทางเว็บในปัจจุบัน

NoScript เป็นโปรแกรมขนาดเล็กที่ผสานรวมเข้ากับ Firefox มันบล็อคสคริปต์ในภาษาโปรแกรมเช่น JavaScript และ Java จากการดำเนินการบนหน้าเว็บที่ไม่น่าเชื่อถือ สคริปต์นี้สามารถใช้โจมตีคอมพิวเตอร์ได้

รุ่นล่าสุดของ NoScript เวอร์ชัน 1.8.2.1 จะหยุดเรียกว่า "clickjacking" โดยที่ผู้ที่ท่องเว็บคลิกที่ลิงก์ที่เป็นอันตรายซึ่งมองไม่เห็นโดยไม่ต้องใช้ Giorgio Maone, นักวิจัยด้านความมั่นคงของอิตาลีผู้เขียนและดูแลโปรแกรมดังกล่าว

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

Clickjacking เป็นที่ทราบกันมาหลายปี แต่กลับดึงความสนใจอีกครั้ง นักวิจัยด้านความปลอดภัยสองคน Robert Hansen และ Jeremiah Grossman เตือนเมื่อเดือนที่แล้วเกี่ยวกับสถานการณ์ใหม่ที่อาจส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลหรือแม้แต่เลวร้ายยิ่งขโมยเงินจากบัญชีธนาคาร

น่าเสียดาย clickjacking เป็นไปได้เนื่องจากคุณลักษณะการออกแบบขั้นพื้นฐานในรูปแบบ HTML ช่วยให้เว็บไซต์สามารถฝังเนื้อหาจากเว็บเพจอื่น ๆ ได้ Maone กล่าว เกือบทุกเว็บเบราเซอร์มีความเสี่ยงต่อการโจมตีแบบ clickjacking

"เป็นเรื่องยากที่จะแก้ไขได้เนื่องจากเป็นส่วนหนึ่งของเว็บทอร์และเบราว์เซอร์" Maone กล่าว "เนื้อหาที่ฝังตัวอาจมองไม่เห็น แต่ คนยังคงสามารถโต้ตอบกับมันได้ การโจมตีแบบ clickjacking ใช้ประโยชน์จากการหลอกลวงให้ผู้ใช้คลิกที่ปุ่มที่ปรากฏขึ้นเพื่อทำหน้าที่บางอย่าง แต่จริงๆแล้วทำอะไรบางอย่างที่แตกต่างไปโดยสิ้นเชิง

Clickjacking สามารถทำได้ด้วยการจัดการกับปลั๊กอินของแอพพลิเคชันอื่นเช่น Adobe's โปรแกรม Flash และ Microsoft Silverlight ตัวอย่างเช่นนักวิจัยในช่วงไม่กี่วันนี้แสดงให้เห็นว่าการโจมตีแบบ clickjacking สามารถเปิดกล้องและไมโครโฟนของบุคคลนั้นได้โดยปราศจากความรู้

ในที่ปรึกษาเมื่อวันอังคารที่ผ่านมา Adobe กล่าวว่าจะออกแพทช์สำหรับ Flash ในตอนท้ายของ เดือน

การปรับปรุงใหม่ของ NoScript ที่เรียกว่า ClearClick สามารถตรวจพบว่ามีองค์ประกอบฝังตัวอยู่ภายในเว็บเพจหรือไม่ จากนั้นจะแสดงข้อความแจ้งเตือนที่ถามผู้ใช้ว่าพวกเขายังต้องการคลิกหรือไม่

Maone กล่าวว่า ClearClick อาจจะพยายามหยุดการคลิกทั้งหมด NoScript เป็นเพียงเบราว์เซอร์ Firefox เท่านั้นดังนั้นผู้ใช้ Internet Explorer ของ Microsoft ซึ่งเป็นเบราเซอร์ที่ใช้กันมากที่สุดในโลกมีความเสี่ยง

เจ้าของเว็บไซต์อาจใช้ขั้นตอนหนึ่งเพื่อป้องกันไม่ให้ผู้ใช้ตกเป็นเหยื่อ, แม่กล่าวว่า โปรแกรมเมอร์สามารถใช้สคริปต์บนเว็บไซต์ของตนเพื่อตรวจดูว่าเว็บเพจถูกฝังอยู่ในหน้าอื่นหรือไม่ ถ้าเป็นเช่นนั้นสคริปต์ก็บังคับให้หน้าเว็บที่ดีอยู่ด้านหน้าป้องกันการคลิกแฮ็กเกอร์โดย Maone กล่าวว่า

เทคนิคนี้เรียกว่า "framebusting" บริการชำระเงินผ่านระบบออนไลน์ของอีเบย์ของ PayPal ซึ่งเป็นเป้าหมายของอาชญากรไซเบอร์มักมีการติดตั้งระบบเฟรมบุชไว้แล้ว NoScript จะช่วยให้สคริปต์ framebusting ทำงานได้ Maone กล่าว "สิ่งที่ดีที่สุดที่จะเกิดขึ้นคือเจ้าของเว็บไซต์เริ่มคิดอย่างรอบคอบเกี่ยวกับความปลอดภัย" Maone กล่าว "เป็นเรื่องสำคัญที่เจ้าของเว็บไซต์ต้องแพร่กระจายคำว่าควรใช้กรอบการทำงาน"

Clickjacking เป็นปัญหาที่ร้ายแรงและเป็นไปได้ในระยะยาวสำหรับนักพัฒนาเบราว์เซอร์ เนื่องจากการโจมตีถูกเปิดใช้งานโดยคุณลักษณะภายใน HTML จะต้องมีการเปลี่ยนแปลงข้อกำหนด HTML

กลุ่มมาตรฐานเว็บกำลังทำงานใน HTML 5 ซึ่งเป็นข้อกำหนดที่จะรวมคุณสมบัติใหม่เข้ากับภาษาเขียนโปรแกรมเพื่อรองรับการออกแบบเว็บในอนาคต แต่ขั้นตอนมาตรฐานจะดำเนินไปอย่างช้าๆและการเปลี่ยนแปลง HTML อาจทำลายหน้าเว็บที่มีอยู่ได้ Maone กล่าว "สำหรับผู้ใช้เรากลัวว่าจะไม่มีการแก้ไข แต่ NoScript ในขณะนี้" เขากล่าว