Firefox Extension Blocks Dangerous Web Attack

Un popolare gratuito Lo strumento di sicurezza per il browser Firefox è stato aggiornato per bloccare uno dei più pericolosi e problematici problemi di sicurezza che il Web si trova oggi.

NoScript è una piccola applicazione che si integra in Firefox. Blocca script in linguaggi di programmazione come JavaScript e Java da eseguire su pagine Web non attendibili. Gli script possono essere utilizzati per lanciare un attacco su un PC.

L'ultima versione di NoScript, versione 1.8.2.1, interromperà il cosiddetto "clickjacking", in cui una persona che naviga sul Web fa clic su un collegamento malevolo, invisibile senza realizzandolo, ha detto Giorgio Maone, un ricercatore italiano della sicurezza che ha scritto e mantiene il programma.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Il Clickjacking è noto da diversi anni ma richiama l'attenzione dopo due ricercatori della sicurezza, Robert Hansen e Jeremiah Grossman, hanno avvertito il mese scorso di nuovi scenari che potrebbero compromettere la privacy di una persona o, peggio ancora, rubare denaro da un conto bancario.

Sfortunatamente, il clickjacking è possibile grazie a una fondamentale funzionalità di progettazione in HTML che consente ai siti Web di incorporare contenuti da altre pagine Web, ha affermato Maone. Quasi tutti i browser Web sono vulnerabili a un attacco clickjacking.

"È una cosa molto difficile da risolvere perché fa parte del tessuto stesso del Web e del browser", ha affermato Maone.

Il contenuto incorporato può essere invisibile ma una persona può ancora inconsciamente interagire con essa. Un attacco clickjacking sfrutta questo facendo ingannare un utente facendo clic su un pulsante che sembra svolgere alcune funzioni, ma in realtà fa qualcosa di completamente diverso.

Il clickjacking può essere ottenuto anche manipolando i plug-in di altre applicazioni, come Adobe Programma Flash e Microsoft Silverlight. Ad esempio, i ricercatori hanno dimostrato negli ultimi giorni che è possibile che un attacco di clickjacking accenda la webcam e il microfono di una persona a loro insaputa.

In una consulenza di martedì, Adobe ha annunciato che emetterà una patch per Flash entro la fine di il mese.

Il nuovo miglioramento di NoScript, chiamato ClearClick, è in grado di rilevare se esiste un elemento nascosto nascosto nella pagina Web. Quindi visualizza un messaggio di avvertimento che chiede all'utente se vuole ancora cliccarci sopra.

Maone ha detto che ClearClick probabilmente interromperà tutti i tentativi di clickjacking. NoScript è solo per il browser Firefox, quindi gli utenti di Microsoft Internet Explorer - il browser più usato al mondo - sono vulnerabili.

I proprietari dei siti Web, tuttavia, possono fare un passo per impedire che i loro utenti cadano vittima, Disse Maone. I programmatori possono utilizzare uno script sui propri siti Web che verifica se una pagina Web è incorporata in un'altra pagina. Se è così, lo script costringe la buona pagina Web in primo piano, impedendo il clickjacking, ha detto Maone.

La tecnica è chiamata "framebusting". Il servizio di pagamenti online di Ebay, PayPal, che viene spesso preso di mira dai criminali informatici, ha già implementato il framebusting, ha detto Maone. NoScript consentirà l'esecuzione di uno script framebusting, ha detto Maone.

"La cosa migliore che può succedere è che i proprietari dei siti Web inizino a pensare con più attenzione alla sicurezza", ha affermato Maone. "È importante che i proprietari dei siti Web diffondano la voce che dovrebbero implementare il framebusting."

Il clickjacking è un problema serio, potenzialmente a lungo termine per gli sviluppatori di browser. Poiché l'attacco è abilitato da una funzionalità in HTML, richiede modifiche alle specifiche HTML.

I gruppi di standard Web stanno attualmente lavorando su HTML 5, una specifica che incorporerà nuove funzionalità nel linguaggio di programmazione per adattarsi al futuro Web design. Ma il processo degli standard si muove lentamente, e le modifiche all'HTML potrebbero interrompere le pagine Web esistenti, ha detto Maone.

"Per l'utente, temo che non ci siano rimedi ma NoScript per ora", ha detto.