La correzione di Clickjacking di IE8 non aiuta, dicono gli esperti

Microsoft ha rilasciato la tecnologia come parte di una versione di prova del prossimo rilascio -generazione browser Internet Explorer 8, dicendo che la società aveva sviluppato una protezione "consumer-ready" per un attacco noto come clickjacking. Nel clickjacking, gli aggressori utilizzano una programmazione Web speciale per ingannare le vittime nel fare clic sui pulsanti Web senza rendersene conto. L'attacco è difficile da attuare, ma nel peggiore dei casi, il clickjacking può fare cose molto brutte, come eseguire transazioni azionarie su siti Web finanziari, modificare configurazioni di router o firewall o persino forzare qualcuno a scaricare software indesiderato.

il problema è così vasto che gli esperti di sicurezza temono che l'approccio di Microsoft, che funziona solo quando gli sviluppatori di siti Web aggiungono tag speciali alle loro pagine che impediscono l'uso scorretto dei propri pulsanti Web, potrebbe finire per dare agli utenti di IE un falso senso di sicurezza.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

"Non è una soluzione per fare clickjacking con un minimo di immaginazione, è un fattore vagamente mitigante per le poche persone che usano IE8", ha dichiarato Robert Hansen, CEO della società di consulenza SecTheory e una delle persone che hanno segnalato per la prima volta il problema a Microsoft. "Ma è interessante che lo prendano sul serio."

Mentre alcuni siti Web useranno sicuramente la tecnologia Microsoft per impedire ai loro visitatori IE di essere colpiti con il clickjacking, ci sono semplicemente troppe altre aree in cui è improbabile che il codice HTML sia aggiornato e gli hacker potrebbero lanciare attacchi - indirizzando le interfacce amministrative del router o le applicazioni aziendali o andando dietro a siti Web che non sono riusciti a implementare la correzione di Microsoft. "Questa è una soluzione che, anche se tutti decidono che questo è il modo giusto di fare le cose, ci vorranno ancora anni e anni di istruzione", ha detto Hansen.

Peggio, alcuni utenti potrebbero erroneamente pensare di essere protetti dal attacco solo perché stanno usando IE, secondo Giorgio Maone, lo sviluppatore del plugin NoScript di Firefox, che è generalmente considerato la migliore protezione da molti attacchi Web, incluso il clickjacking. "La cattiva notizia per gli appassionati di IE è che non hanno alcuna protezione magica" pronta all'uso ", ha scritto sul suo blog martedì. "È vero, non richiede alcun 'componente aggiuntivo del browser' … ma ha un requisito ancora più severo: tutti i siti da proteggere devono già aver adottato un nuovo hack proprietario, ovvero qualcosa che nessun utente finale può verificare, per non dire rafforzamento. "

NoScript consente agli utenti di bloccare in modo selettivo l'uso dei linguaggi di scripting all'interno del browser Firefox. Poiché il clickjacking richiede lo scripting, l'attacco non funziona quando NoScript è abilitato.

Per mesi, il plug-in di Maone è stato la tecnologia più conosciuta per contrastare il clickjacking. Con il codice di prova di IE 8, tuttavia, Microsoft ha finalmente una sua alternativa.

Per aiutare la situazione, Maone sta sviluppando una funzionalità di compatibilità in modo che gli utenti di NoScript possano sfruttare lo stesso codice Web utilizzato da IE e ora sta facendo pressioni per avere questa funzione inclusa in una versione imminente di Firefox.

Hansen e Maone hanno anche criticato Microsoft per aver tenuto conto dei dettagli tecnici della tecnologia. "Anche se hanno implementato questo, non hanno dato indicazioni su come effettivamente usarlo", ha detto Hansen.

In una dichiarazione via e-mail, Microsoft ha detto che avrebbe pianificato un post sul blog anti-clickjacking funzionalità a volte questa settimana e che aveva funzionato con tutti i principali fornitori di browser "per ottenere feedback e input sulla nostra implementazione del tag clickjacking prima di spedire Internet Explorer 8 RC1."

Questo post potrebbe essere utile. Allo stato attuale delle cose, sembra che "la funzionalità non consenta all'utente di proteggersi", ha affermato Jeremiah Grossman, chief technology officer di White Hat Security.

Hansen ha detto che gli sviluppatori Microsoft hanno proposto per la prima volta la correzione per il clickjacking di IE8 diversi mesi fa quando ha descritto per la prima volta il problema. "L'ho liquidato come una soluzione praticabile a lungo termine al clickjacking", ha detto.