IE8: s Clickjacking Fix inte mycket hjälp, säger experter

Microsoft släppte tekniken som en del av en tidig testversion av "release candidate" -generation Internet Explorer 8-webbläsaren, säger att företaget hade utvecklat "konsumentskyddat" skydd för en attack som kallas clickjacking. I clickjacking använder angripare speciell webbprogrammering för att lura offer för att klicka på webbknappar utan att förstå det. Attacken är svår att dra av, men i värsta fall kan Clickjacking göra några väldigt otäcka saker, till exempel exekvera aktiehandel på finansiella webbplatser, ändra routerns eller brandväggskonfigurationer eller till och med tvinga någon att ladda ner oönskad programvara. Problemet är så stort att säkerhetsexperter oroar sig för att Microsofts tillvägagångssätt, som bara fungerar när webbutvecklare lägger till särskilda taggar på sina sidor som förhindrar att deras egna webbknappar missbrukas, kan sluta ge IE-användare en falsk känsla av säkerhet.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Det är inte en lösning att klickajacka på någon del av fantasin. Det är en svagt mildrande faktor för de få personer som använder IE8", säger Robert Hansen, VD av SecTeory-konsulten och en av de personer som först rapporterade problemet till Microsoft. "Men det är intressant att de tar det på allvar."

Medan vissa webbplatser säkert kommer att använda Microsofts teknik för att förhindra att deras IE-besökare slås med clickjacking, finns det helt enkelt för många andra områden där HTML-kod sannolikt inte kommer att vara uppdaterade och hackare kan starta attacker - inrikta sig på administratörsgränssnitt eller företagsapplikationer för routrar eller gå efter webbplatser som inte har kommit runt för att implementera Microsofts fix. "Det här är en lösning som även om alla bestämmer att det här är rätt sätt att göra saker, kommer det fortfarande att ta år och år med utbildning", säger Hansen.

Värre, vissa användare kan felaktigt tro att de är skyddade från attack bara för att de använder IE, enligt Giorgio Maone, utvecklaren av Firefox NoScript-plugin, som allmänt anses vara det bästa skyddet från många webbaserade attacker, inklusive clickjacking. "De dåliga nyheterna för IE-entusiaster är att de inte har något magiskt" out of the box "-skydd", skrev han på sin blogg tisdag. "Det behövs inte något" webbläsartillägg "… men det innehåller ett ännu strängare krav: Alla webbplatser som ska skyddas måste redan ha antagit ett nytt proprietärt hack, det vill säga något som ingen slutanvändare kan verifiera, än mindre verkställ. "

NoScript låter användare selektivt blockera användningen av skriptspråk i Firefox-webbläsaren. Eftersom clickjacking kräver scripting fungerar inte attacken när NoScript är aktiverat.

I månader har Maone plug-in varit den mest kända tekniken för att undanröja Clickjacking. Med IE 8-testkoden har Microsoft äntligen sitt eget alternativ.

För att hjälpa situationen utvecklar Maone en kompatibilitetsfunktion så att NoScript-användare kommer att kunna utnyttja samma webbkod som används av IE, och Han lobbar nu för att få den här funktionen inkluderad i en kommande version av Firefox.

Hansen och Maone kritiserade också Microsoft för att hålla fast vid tekniska detaljer om tekniken. "Även om de genomfört det, har de inte givit vägledning om hur man faktiskt använder det, säger Hansen.

I ett e-postmeddelande sade Microsoft att det planerade att lägga upp ett bloggpost på anti-clickjacking funktionen någon gång i veckan och att det hade fungerat med alla större webbläsare "för att få feedback och input om vår implementering av clickjacking-taggen innan du skickade Internet Explorer 8 RC1."

Det här inlägget kan vara till hjälp. Som saker står nu ser det ut som "funktionen tillåter inte användaren att skydda sig", säger Jeremiah Grossman, chefstekniker med White Hat Security.

Hansen sa att Microsoft-utvecklare först föreslog sina IE8 clickjacking fix flera månader sedan när han först beskrivde problemet för dem. "Jag avskedade det som inte en långsiktig, lönsam lösning på Clickjacking," sa han.