Clickjacking Fix IE8 nicht viel Hilfe, Experten sagen

Neue Microsoft-Technologie, die entwickelt wurde, um Internet Explorer-Benutzer vor einem leistungsstarken neuen webbasierten Angriff zu schützen, wird das Problem nicht beheben, sagten Sicherheitsexperten am Dienstag.

Microsoft veröffentlichte die Technologie als Teil einer frühen "Release Candidate" -Testversion des nächsten Internet Explorer 8-Browser, der besagt, dass das Unternehmen "consumer-ready" -Schutz für einen als Clickjacking bekannten Angriff entwickelt hat. Beim Clickjacking nutzen Angreifer spezielle Web-Programme, um Opfer dazu zu bringen, auf Web-Buttons zu klicken, ohne es zu merken. Der Angriff ist schwer durchzuziehen, aber im schlimmsten Fall kann Clickjacking einige sehr unangenehme Dinge tun, wie das Ausführen von Börsentransaktionen auf Finanzwebsites, das Ändern von Router- oder Firewallkonfigurationen oder sogar das Herunterladen von unerwünschter Software Das Problem ist so groß, dass Sicherheitsexperten befürchten, dass Microsofts Ansatz, der nur funktioniert, wenn Website-Entwickler spezielle Tags zu ihren Seiten hinzufügen, die verhindern, dass ihre eigenen Web-Schaltflächen missbraucht werden, IE-Benutzern ein falsches Gefühl von Sicherheit geben.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Es ist keine Lösung für Clickjacking. Es ist ein vage mildernder Faktor für die wenigen Menschen, die IE8 verwenden", sagte Robert Hansen, CEO von der SecTheory-Beratung und einer der Personen, die das Problem zuerst an Microsoft gemeldet haben. "Aber es ist interessant, dass sie es ernst nehmen."

Während einige Websites sicherlich Microsofts Technologie verwenden, um zu verhindern, dass ihre IE-Besucher von Clickjacking betroffen werden, gibt es einfach zu viele andere Bereiche, in denen es unwahrscheinlich ist aktualisiert und Hacker könnten Angriffe starten, indem sie auf Router-Verwaltungsschnittstellen oder Unternehmensanwendungen abzielen oder Websites nachgehen, die nicht zur Implementierung des Fixes von Microsoft gekommen sind. "Dies ist eine Lösung, die, selbst wenn jeder entscheidet, dass dies der richtige Weg ist, wird es noch Jahre und Jahre der Ausbildung dauern", sagte Hansen.

Schlimmer noch, einige Benutzer könnten irrtümlicherweise denken, dass sie vor der. Geschützt sind Angriff, nur weil sie IE verwenden, sagt Giorgio Maone, der Entwickler des Firefox NoScript-Plugins, das allgemein als der beste Schutz vor vielen webbasierten Angriffen gilt, einschließlich Clickjacking. "Die schlechte Nachricht für IE-Enthusiasten ist, dass sie keinen magischen" Out-of-the-Box "-Schutz haben", schrieb er am Dienstag in seinem Blog. "Es ist zwar kein" Browser-Add-On "erforderlich, aber es wird noch strenger gefordert: Alle zu schützenden Websites müssen bereits einen neuen proprietären Hack angenommen haben, also etwas, das kein Endnutzer überprüfen kann. geschweige denn erzwingen. "

Mit NoScript können Benutzer die Verwendung von Skriptsprachen im Firefox-Browser selektiv blockieren. Da Clickjacking Scripting erfordert, funktioniert der Angriff nicht, wenn NoScript aktiviert ist.

Seit Monaten ist Maones Plug-in die bekannteste Technologie, um Clickjacking zu verhindern. Mit dem Testcode IE 8 hat Microsoft jedoch endlich eine eigene Alternative.

Um Abhilfe zu schaffen, entwickelt Maone ein Kompatibilitätsfeature, damit NoScript-Benutzer den gleichen Web-Code nutzen können, den IE verwendet Er setzt sich nun dafür ein, diese Funktion in eine kommende Version von Firefox aufzunehmen.

Auch Hansen und Maone haben Microsoft dafür kritisiert, dass sie technische Details der Technologie nicht eingehalten haben. "Obwohl sie das implementiert haben, haben sie keine Anleitung gegeben, wie man es tatsächlich benutzt", sagte Hansen.

In einer per E-Mail gesandten Erklärung sagte Microsoft, dass es geplant habe, einen Blogbeitrag zum Anti-Clickjacking zu veröffentlichen Feature diese Woche und dass es mit allen großen Browser-Anbietern funktioniert hat ", um Feedback und Input zu unserer Implementierung des Clickjacking-Tags zu erhalten, bevor Internet Explorer 8 RC1 ausgeliefert wird."

Dieser Beitrag könnte hilfreich sein. Wie es jetzt aussieht, sieht es so aus, als ob "die Funktion es dem Benutzer nicht erlaubt, sich selbst zu schützen", sagte Jeremiah Grossman, Chief Technology Officer bei White Hat Security.

Hansen sagte, dass die Microsoft-Entwickler ihren IE8-Clickjacking-Fix vor einigen Monaten vorgeschlagen hatten, als er ihnen das Problem erstmals beschrieb. "Ich habe es als keine langfristige, lebensfähige Lösung für Clickjacking abgetan", sagte er.