Firefox Extension Blocks Farligt webbattack

NoScript är ett litet program som integreras i Firefox. Det blockerar skript i programmeringsspråk som JavaScript och Java från exekvering på otillförlitliga webbsidor. Skripten kan användas för att starta en attack på en dator.

Den senaste versionen av NoScript, version 1.8.2.1, kommer att stoppa så kallad "clickjacking", där en person som surfar på webben klickar på en skadlig, osynlig länk utan realiserar det, säger Giorgio Maone, en italiensk säkerhetsforskare som skrev och underhåller programmet.

[Vidare läsning: Hur man tar bort skadlig kod från din Windows-dator]

Clickjacking har varit känd under flera år men uppmärksammar igen efter två säkerhetsforskare, Robert Hansen och Jeremiah Grossman, varnade förra månaden om nya scenarier som kan äventyra personens integritet eller ännu värre, stjäla pengar från ett bankkonto.

Clickjacking är tyvärr möjligt tack vare en grundläggande designfunktion i HTML som tillåter webbplatser att bädda in innehåll från andra webbsidor, sa Maone. Nästan alla webbläsare är sårbara för en clickjacking-attack.

"Det är en väldigt svår sak att fixa eftersom det är en del av webens väv och webbläsare", säger Maone.

Det inbäddade innehållet kan vara osynligt men en person kan fortfarande omedvetet interagera med det. En clickjacking-attack utnyttjar det genom att dra en användare till att klicka på en knapp som verkar fungera men gör faktiskt något helt annat.

Clickjacking kan också uppnås genom att manipulera plugin-programmen för andra applikationer, till exempel Adobe Flash-program och Microsofts Silverlight. Till exempel har forskare under de senaste dagarna visat att det är möjligt för en clickjacking-attack att aktivera en persons webbkamera och mikrofon utan deras kunskaper.

I en rådgivning på tisdag sa Adobe att det kommer att utfärda en patch för Flash i slutet av månaden.

Den nya förbättringen av NoScript, kallad ClearClick, kan upptäcka om det finns ett dolt, inbäddat element på webbsidan. Det visar sedan ett varningsmeddelande som frågar användaren om de fortfarande vill klicka på den.

Maone sa att ClearClick sannolikt kommer att stoppa alla clickjacking-försök. NoScript är bara för Firefox-webbläsaren, så användare av Microsofts Internet Explorer - den mest använda webbläsaren i världen - är sårbara.

Webbplatsägare kan dock ta ett steg för att förhindra att användarna faller offer, Maone sa. Programmerare kan använda ett skript på sina webbplatser som kontrollerar om en webbsida är inbäddad på en annan sida. Om så är fallet tvingar manuskriptet den goda webbsidan framför, förhindrar clickjacking, sade Maone.

Tekniken heter "framebusting". Ebays online betaltjänst, PayPal, som ofta är inriktad på cyberkriminella, har redan genomfört framebusting, sa Maone. NoScript kommer att tillåta ett frambrottskript att springa, sade Maone. "Det bästa som kan hända är att webbplatsägare börjar tänka mer noggrant om säkerhet," sa Maone. "Det är viktigt att webbplatsägare sprider ordet som de ska implementera frambräda."

Clickjacking är ett allvarligt, potentiellt långsiktigt problem för webbläsareutvecklare. Eftersom attacken aktiveras av en funktion i HTML, krävs det ändringar av HTML-specifikationen.

Webstandardgrupper arbetar för närvarande med HTML 5, en specifikation som innehåller nya funktioner i programmeringsspråket för att tillgodose framtida webbdesign. Men standardprocessen rör sig långsamt, och ändringar i HTML kan bryta befintliga webbsidor, sade Maone.

"För användaren är jag rädd att det inte finns någon fix men NoScript för tillfället," sa han.