à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
เทคโนโลยีใหม่ของ Microsoft ที่ออกแบบมาเพื่อปกป้องผู้ใช้ Internet Explorer จากการโจมตีบนเว็บแบบใหม่ที่มีประสิทธิภาพจะไม่สามารถแก้ไขปัญหาได้ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวในวันอังคาร
Microsoft เปิดตัวเทคโนโลยีดังกล่าวเป็นส่วนหนึ่งของรุ่นทดสอบ เบราว์เซอร์ Internet Explorer 8 รุ่นใหม่กล่าวว่า บริษัท ได้พัฒนาระบบป้องกันการโจมตีแบบคลิกเพื่อรับข้อมูล "ผู้บริโภคพร้อมใช้" ในการคลิกแฮ็กเกอร์ผู้โจมตีจะใช้โปรแกรมพิเศษเพื่อหลอกล่อให้ผู้ที่ตกเป็นเหยื่อคลิกปุ่มเว็บโดยไม่ทราบ การโจมตียากที่จะดึงออก แต่ที่แย่ที่สุด clickjacking สามารถทำสิ่งที่น่ารังเกียจมากเช่นการซื้อขายหุ้นบนเว็บไซต์ทางการเงินเปลี่ยนแปลงการกำหนดค่าเราเตอร์หรือไฟร์วอลล์หรือแม้แต่บังคับให้ผู้อื่นดาวน์โหลดซอฟต์แวร์ที่ไม่พึงประสงค์
ปัญหาจึงกว้างใหญ่ที่ผู้เชี่ยวชาญด้านความปลอดภัยกังวลว่าวิธีการของ Microsoft ซึ่งทำงานได้เฉพาะเมื่อนักพัฒนาเว็บไซต์เพิ่มแท็กพิเศษในหน้าเว็บที่ป้องกันปุ่มเว็บของตนเองไม่ให้ถูกนำไปใช้อย่างผิดพลาดอาจทำให้ผู้ใช้ IE รู้สึกผิดพลาดได้
"นี่ไม่ใช่วิธีแก้ปัญหาในการคลิกโดยไม่ต้องใช้จินตนาการใด ๆ ซึ่งเป็นปัจจัยที่ช่วยลดความเสี่ยงของคนจำนวนน้อยที่ใช้ IE8" โรเบิร์ตแฮนเซนซีอีโอกล่าว ของการให้คำปรึกษา Sec.Toryory และหนึ่งในคนที่รายงานปัญหานี้เป็นครั้งแรกกับ Microsoft ในขณะที่เว็บไซต์บางแห่งจะใช้เทคโนโลยีของไมโครซอฟท์เพื่อป้องกันไม่ให้ผู้เยี่ยมชม IE ของพวกเขาถูกโจมตีโดยใช้ clickjacking แต่ก็มีเพียงส่วนอื่น ๆ ที่ไม่ควรมีโค้ด HTML ปรับปรุงและแฮ็กเกอร์สามารถโจมตีได้โดยการกำหนดเป้าหมายส่วนติดต่อผู้ดูแลระบบของเราเตอร์หรือแอพพลิเคชั่นขององค์กรหรือไปตามเว็บไซต์ที่ไม่ได้ใช้งานการแก้ไขของไมโครซอฟต์ Hansen กล่าวว่า "นี่เป็นทางออกที่แม้ว่าทุกคนจะตัดสินใจว่านี่เป็นวิธีที่ถูกต้องในการทำสิ่งต่างๆ แต่ก็ยังต้องใช้เวลาหลายปีในการศึกษา" ผู้ใช้บางคนอาจเข้าใจผิดว่าพวกเขาได้รับการคุ้มครองจาก โจมตีเพียงเพราะพวกเขากำลังใช้ IE ตาม Giorgio Maone ซึ่งเป็นผู้พัฒนาปลั๊กอิน Firefox NoScript ซึ่งโดยทั่วไปถือว่าเป็นการป้องกันที่ดีที่สุดจากการโจมตีบนเว็บจำนวนมากรวมถึงการคลิกการซิงค์ "ข่าวร้ายสำหรับผู้ที่ชื่นชอบ IE คือการที่พวกเขาไม่ได้รับความคุ้มครองจากกล่องเลย" เขาเขียนไว้ในบล็อกของเขาเมื่อวันอังคาร "จริงมันไม่จำเป็นต้องมีเบราว์เซอร์ add-on '… แต่มันมาพร้อมกับความต้องการที่เข้มงวดมากยิ่งขึ้น: เว็บไซต์ทั้งหมดที่ได้รับการคุ้มครองต้องมีการประกาศใช้ hack ที่เป็นกรรมสิทธิ์ใหม่นั่นคือสิ่งที่ไม่มี end-user สามารถตรวจสอบ, เอาชนะการบังคับใช้ "NoScript อนุญาตให้ผู้ใช้บล็อกการใช้ภาษาสคริปต์ในเบราว์เซอร์ Firefox ได้อย่างมีแบบแผน เนื่องจากการคลิกจิ้งจางต้องมีการเขียนสคริปต์การโจมตีจะไม่ทำงานเมื่อเปิดใช้ NoScriptหลายเดือนมาแล้วปลั๊กอินของ Maone เป็นเทคโนโลยีที่รู้จักกันดีที่สุดในการขัดขวางการคลิกแฮ็ก ด้วยรหัสการทดสอบของ IE 8 Microsoft มีทางเลือกของตัวเอง
เพื่อช่วยเหลือสถานการณ์ Maone กำลังพัฒนาคุณลักษณะที่เข้ากันได้เพื่อให้ผู้ใช้ NoScript สามารถใช้ประโยชน์จากรหัสเว็บเดียวกันที่ใช้โดย IE และ ขณะนี้เขากำลังวิ่งเต้นเพื่อให้คุณลักษณะนี้รวมอยู่ในเวอร์ชันที่กำลังจะเริ่มใช้งานของ Firefox ด้วย
Hansen and Maone ยังวิพากษ์วิจารณ์ Microsoft ในเรื่องเกี่ยวกับรายละเอียดทางเทคนิคของเทคโนโลยี Hansen กล่าวว่า "แม้ว่าจะมีการดำเนินการดังกล่าว แต่ก็ยังไม่ได้ให้คำแนะนำในการใช้งานจริง" Hansen กล่าวในข้อความที่ส่งทางอีเมล Microsoft กล่าวว่ามีแผนจะโพสต์บล็อกในการต่อต้านการคลิกโดยไม่ได้รับอนุญาต ในช่วงสัปดาห์นี้และทำงานร่วมกับผู้ขายเบราว์เซอร์รายใหญ่ ๆ ทั้งหมดเพื่อรับข้อเสนอแนะและข้อมูลเกี่ยวกับการติดตั้งแท็ก clickjacking ก่อนจัดส่ง Internet Explorer 8 RC1 "
โพสต์อาจเป็นประโยชน์ "สิ่งนี้ไม่ได้ช่วยให้ผู้ใช้สามารถปกป้องตนเองได้" Jeremiah Grossman หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของ White Hat Security กล่าวว่า
แฮนเซนกล่าวว่านักพัฒนาซอฟต์แวร์ของไมโครซอฟต์ได้เสนอการแก้ไขปัญหาการคลิกผ่านของ IE8 เป็นเวลาหลายเดือนก่อนเมื่อเขาอธิบายปัญหานี้เป็นครั้งแรก "ฉันไม่ยอมรับว่าไม่ใช่ทางออกที่ยาวนานและมีประสิทธิภาพในการคลิกโดยไม่ได้รับอนุญาต" เขากล่าว
Microsoft เรียกร้องให้ผู้ทดสอบเบราว์เซอร์ IE8 เพิ่มเติม
Microsoft ขยายโปรแกรมทดสอบเบต้า IE8 และเรียกร้องให้มีผู้ทดสอบเพิ่มขึ้น
ไมโครซอฟต์ในวันจันทร์ คุณลักษณะด้านความเป็นส่วนตัวใหม่ที่จะมาพร้อมกับ IE8 ซึ่งเป็นเบราว์เซอร์รุ่นถัดไป คุณลักษณะนี้ได้รับการออกแบบมาเพื่อให้ผู้ใช้สามารถลบและควบคุมข้อมูลเกี่ยวกับประวัติการเรียกดูเว็บได้ง่ายขึ้น
ด้วย InPrivate Browsing ซึ่งเป็นหนึ่งในคุณลักษณะใหม่ ๆ ผู้ใช้จะเปิดหน้าต่าง InPrivate Browsing ใหม่เพื่อออนไลน์ เมื่อผู้ใช้ปิดหน้าต่าง IE ไม่ได้เก็บคุกกี้รหัสผ่านคำที่พิมพ์ลงในแถบที่อยู่ค้นหาข้อความไฟล์อินเทอร์เน็ตชั่วคราวหรือข้อมูลฟอร์มจากเซสชันการเรียกดู
การปรับปรุงประสิทธิภาพ Windows 7, IE8
การปรับปรุงประสิทธิภาพเป็นเป้าหมายสำคัญสำหรับ Windows 7 และ IE 8.