Komponenten

Firefox Erweiterung Blöcke Dangerous Web Attack

NoScript ist eine kleine Anwendung, die in Firefox integriert ist. Es blockiert Skripte in Programmiersprachen wie JavaScript und Java von der Ausführung auf nicht vertrauenswürdigen Webseiten. Die Skripte könnten verwendet werden, um einen Angriff auf einen PC zu starten.

Die neueste Version von NoScript, Version 1.8.2.1, stoppt das sogenannte "Clickjacking", bei dem eine Person im Web auf einen bösartigen, unsichtbaren Link klickt "

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Clickjacking ist seit einigen Jahren bekannt, macht aber danach wieder auf sich aufmerksam zwei Sicherheitsforscher, Robert Hansen und Jeremiah Grossman, warnten im letzten Monat vor neuen Szenarien, die die Privatsphäre einer Person gefährden könnten oder, noch schlimmer, Geld von einem Bankkonto stehlen.

Leider ist Clickjacking aufgrund eines grundlegenden Designmerkmals in HTML möglich erlaubt Websites, Inhalt von anderen Webseiten einzubetten, gesagtes Maone. Fast alle Web-Browser sind anfällig für einen Clickjacking-Angriff.

"Es ist sehr schwer zu beheben, weil es Teil der Struktur des Webs und des Browsers ist", sagte Maone.

Der eingebettete Inhalt kann unsichtbar sein, aber eine Person kann immer noch unbewusst mit ihr interagieren. Ein Clickjacking-Angriff macht sich das zunutze, indem er einen Benutzer dazu bringt, auf eine Schaltfläche zu klicken, die scheinbar eine Funktion erfüllt, aber tatsächlich etwas völlig anderes macht.

Clickjacking kann auch durch Manipulation der Plug-Ins anderer Anwendungen wie Adobe erfolgen Flash-Programm und Microsoft Silverlight. Zum Beispiel haben Forscher in den letzten Tagen gezeigt, dass es bei einem Clickjacking-Angriff möglich ist, die Webkamera und das Mikrofon einer Person ohne ihr Wissen einzuschalten.

Adobe hatte am Dienstag in einer Mitteilung angekündigt, dass es Ende des Jahres einen Patch für Flash herausbringen wird der Monat.

Die neue Verbesserung von NoScript, genannt ClearClick, kann erkennen, ob es ein verstecktes, eingebettetes Element in der Webseite gibt. Es wird dann eine Warnmeldung angezeigt, in der der Benutzer gefragt wird, ob er noch darauf klicken möchte.

Maone sagte, ClearClick würde wahrscheinlich alle Clickjacking-Versuche stoppen. NoScript ist nur für den Firefox-Browser, daher sind Benutzer von Microsofts Internet Explorer - der meistbenutzte Browser der Welt - anfällig.

Webseitenbesitzer können jedoch einen Schritt tun, um zu verhindern, dass ihre Benutzer Opfer werden. Sagte Maone. Programmierer können auf ihren Websites ein Skript verwenden, das überprüft, ob eine Webseite in eine andere Seite eingebettet ist. Wenn das der Fall ist, zwingt das Skript die gute Web-Seite voran und verhindert Clickjacking, sagte Maone.

Die Technik wird "framebusting" genannt. Der Online-Zahlungsdienst von eBay, der häufig von Cyberkriminellen ins Visier genommen wird, hat bereits FrameBusting implementiert, sagte Maone. NoScript ermöglicht die Ausführung eines Framebusting-Skripts, sagte Maone.

"Das Beste, was passieren kann, ist, dass Websitebesitzer sich mehr Gedanken über die Sicherheit machen", sagte Maone. "Es ist wichtig, dass Websitebesitzer das Wort verbreiten, dass sie framebusting implementieren sollten."

Clickjacking ist ein schwerwiegendes, möglicherweise langfristiges Problem für Browser-Entwickler. Da der Angriff durch ein Feature innerhalb von HTML ermöglicht wird, erfordert dies Änderungen an der HTML-Spezifikation.

Derzeit arbeiten Webstandards-Gruppen an HTML 5, einer Spezifikation, die neue Funktionen in die Programmiersprache einfügt, um zukünftiges Webdesign zu ermöglichen. Aber der Standardprozess bewegt sich langsam, und Änderungen an HTML könnten bestehende Webseiten zerstören, sagte Maone.

"Für den Benutzer, ich fürchte, es gibt vorerst keine Lösung, aber NoScript", sagte er.