Click Jacking (step by step explained)
Nieuwe Microsoft-technologie die is ontworpen om gebruikers van Internet Explorer te beschermen tegen een krachtige nieuwe op het web gebaseerde aanval lost het probleem niet op, zeiden beveiligingsdeskundigen dinsdag.
Microsoft heeft de technologie vrijgegeven als onderdeel van een vroege "release candidate" -testversie van zijn volgende -generatie Internet Explorer 8-browser, die zegt dat het bedrijf "consumentvriendelijke" bescherming had ontwikkeld voor een aanval die clickjacking wordt genoemd. In clickjacking gebruiken aanvallers speciale webprogrammering om slachtoffers te misleiden om op webknoppen te klikken zonder het te beseffen. De aanval kan moeilijk worden uitgevoerd, maar in het slechtste geval kan clickjacking een aantal zeer nare dingen doen, zoals het uitvoeren van beurstransacties op financiële websites, het wijzigen van router- of firewallconfiguraties of zelfs iemand dwingen om ongewenste software te downloaden.
het probleem is zo groot dat beveiligingsdeskundigen zich zorgen maken dat de aanpak van Microsoft, die alleen werkt wanneer websitebouwers speciale tags aan hun pagina's toevoegen die voorkomen dat hun eigen webknoppen worden misbruikt, IE-gebruikers een vals gevoel van veiligheid kan geven.
[Meer informatie: hoe u malware van uw Windows-pc verwijdert]"Het is geen oplossing voor clickjacking in de verbeelding, het is een vaag verzachtende factor voor de weinige mensen die IE8 gebruiken", zegt Robert Hansen, CEO van de SecTheory consultancy, en een van de mensen die het probleem voor het eerst aan Microsoft hebben gemeld. "Maar het is interessant dat ze het serieus nemen."
Hoewel sommige websites zeker de technologie van Microsoft zullen gebruiken om te voorkomen dat hun IE-bezoekers worden geraakt door clickjacking, zijn er gewoon te veel andere gebieden waar HTML-code waarschijnlijk niet beschikbaar is bijgewerkt en hackers kunnen aanvallen starten - gericht op beheerdersinterfaces of zakelijke applicaties van de router, of op websites gaan die er niet bij zijn om de oplossing van Microsoft te implementeren. "Dit is een oplossing die, zelfs als iedereen beslist dat dit de juiste manier is om dingen te doen, het nog jaren en jaren van onderwijs zal duren", zei Hansen. Erger nog, sommige gebruikers zouden ten onrechte denken dat ze beschermd zijn tegen de aanvallen alleen omdat ze IE gebruiken, volgens Giorgio Maone, de ontwikkelaar van de Firefox NoScript plug-in, die over het algemeen wordt beschouwd als de beste bescherming tegen veel webaanvallen, waaronder clickjacking. "Het slechte nieuws voor IE-enthousiastelingen is dat ze geen magische 'out-of-the-box'-bescherming hebben", schreef hij dinsdag op zijn blog. "Het is waar dat er geen 'browser-add-on' voor nodig is … maar er is een nog striktere eis: alle te beschermen sites moeten al een nieuwe eigen hack hebben geïmplementeerd, dat wil zeggen iets dat geen enkele eindgebruiker kan verifiëren. laat staan afdwingen. "
NoScript laat gebruikers selectief het gebruik van scripting-talen binnen de Firefox-browser blokkeren. Omdat clickjacking scripting vereist, werkt de aanval niet wanneer NoScript is ingeschakeld.
Al maandenlang is de plug-in van Maone de bekendste technologie om clickjacking tegen te houden. Met de IE 8-testcode heeft Microsoft echter eindelijk een eigen alternatief.
Om de situatie te helpen, ontwikkelt Maone een compatibiliteitsfunctie, zodat gebruikers van NoScript gebruik kunnen maken van dezelfde internetcode die door IE wordt gebruikt, en hij is nu aan het lobbyen om deze functie in een aankomende versie van Firefox te laten opnemen.
Hansen en Maone hebben ook kritiek op Microsoft vanwege technische details van de technologie. "Hoewel ze dat hebben geïmplementeerd, hebben ze geen richtlijnen gegeven over hoe ze het daadwerkelijk kunnen gebruiken", zei Hansen.
In een verklaring per e-mail zei Microsoft dat het van plan was een blogpost op te zetten over het anti-clickjacking deze week ergens mee werken en dat het samenwerkte met alle belangrijke browserleveranciers "om feedback en input te krijgen over onze implementatie van de clickjacking-tag voordat Internet Explorer 8 RC1 wordt verzonden."
Dat bericht kan nuttig zijn. Zoals het er nu uitziet, lijkt het erop dat "de functie de gebruiker niet toestaat zichzelf te beschermen", zei Jeremiah Grossman, chief technology officer bij White Hat Security.
Hansen zei dat Microsoft-ontwikkelaars hun IE8-Clickjacking-fix enkele maanden geleden voorstelden toen hij het probleem voor het eerst beschreef. "Ik heb het afgedaan als een niet-duurzame, levensvatbare oplossing voor clickjacking," zei hij.
IPhone 4 Antennagate zal Apple's beeld niet schaden, zeggen PR-experts
Public relations-experts geven Apple een duim omhoog als het komt hoe het met "antennagate" omging en zeggen dat het sprankelende beeld van het bedrijf niet is aangetast door de aflevering.
Internet Explorer werkt niet meer, loopt vast, loopt vast <-> Is Internet Explorer niet meer werkt, bevriest, crasht, loopt vast of laadt niet of start niet in Windows 10/8/7, probeer deze stappen voor probleemoplossing.
Internet Explorer 11 is een redelijk stabiele browser en werkt erg goed op Windows. Maar er kunnen momenten zijn waarop u, om onbekende redenen, merkt dat uw Internet Explorer vastloopt, vastloopt of regelmatig vastloopt in Windows 10/8/7 - of dat deze helemaal niet wordt geladen of gestart. Mogelijk ziet u zelfs een
Hulp op afstand in Windows 7: laat u om hulp vragen of hulp bieden om computers te repareren
Hulp op afstand in Windows 7: dit tutorial zal je laten zien met screenshots hoe je om hulp van een vriend kunt vragen, of hulp kunt bieden aan anderen, met behulp van Hulp op afstand in Windows 7.