Firefox Web Audio API Demo
công cụ bảo mật cho trình duyệt Firefox đã được nâng cấp để chặn đứng một trong những vấn đề an ninh nguy hiểm và gây phiền toái nhất đối với Web hiện nay.
NoScript là một ứng dụng nhỏ tích hợp vào Firefox. Nó chặn các kịch bản trong các ngôn ngữ lập trình như JavaScript và Java thực hiện trên các trang Web không đáng tin cậy. Phiên bản mới nhất của NoScript, phiên bản 1.8.2.1, sẽ dừng lại cái gọi là "clickjacking", nơi mà một người duyệt Web nhấp chuột vào một liên kết vô hại, vô hình mà không có Giorgio Maone, một nhà nghiên cứu về bảo mật của Ý, người đã viết và duy trì chương trình, cho biết: "Clickjacking đã được biết đến nhiều năm nhưng lại đang thu hút sự chú ý sau hai nhà nghiên cứu bảo mật, Robert Hansen và Jeremiah Grossman, đã cảnh báo tháng trước về những tình huống mới có thể ảnh hưởng đến sự riêng tư của một người hoặc thậm chí tệ hơn, ăn cắp tiền từ tài khoản ngân hàng
Thật không may, clickjacking là có thể do một tính năng thiết kế cơ bản trong HTML cho phép các trang web nhúng nội dung từ các trang Web khác, Maone nói. Gần như tất cả các trình duyệt Web đều dễ bị tấn công bằng cách clickjacking.
"Đó là một điều rất khó sửa bởi vì nó là một phần của thiết kế web và trình duyệt", Maone nói.Nội dung nhúng có thể vô hình nhưng một người vẫn có thể vô tình tương tác với nó. Clickjacking cũng có thể được thực hiện bằng cách thao tác các plug-in của các ứng dụng khác, chẳng hạn như Adobe's Flash và Silverlight của Microsoft. Ví dụ, các nhà nghiên cứu trong những ngày gần đây đã cho thấy một cuộc tấn công clickjacking để bật camera và micrô của một người mà họ không biết
Trong một lời khuyên vào thứ ba, Adobe cho biết họ sẽ phát hành bản vá cho Flash vào cuối tháng.
Sự cải tiến mới đối với NoScript, được gọi là ClearClick, có thể phát hiện nếu có một phần tử ẩn, được nhúng trong trang Web. Sau đó nó sẽ hiển thị một thông điệp cảnh báo yêu cầu người dùng nếu họ vẫn muốn nhấp vào nó.
Chủ sở hữu trang web có thể thực hiện một bước để ngăn chặn người dùng của họ rơi vào nạn nhân, Maone nói. Các lập trình viên có thể sử dụng một kịch bản trên các trang web của họ để kiểm tra xem một trang Web có được nhúng trong một trang khác hay không. Maone nói: "Kỹ thuật này được gọi là" framebusting ". Kỹ thuật này được gọi là" framebusting ". Dịch vụ thanh toán trực tuyến của Ebay, PayPal, thường xuyên được nhắm tới bởi bọn tội phạm trực tuyến, đã triển khai thực hiện việc ngăn chặn, Maone nói. NoScript sẽ cho phép một tập lệnh khởi động chạy, Maone nói. "Điều tốt nhất có thể xảy ra là các chủ trang web bắt đầu suy nghĩ cẩn thận hơn về bảo mật", Maone nói. "Điều quan trọng là chủ sở hữu trang web truyền bá lời nói rằng họ nên thực hiện việc tạo khung."
Clickjacking là một vấn đề nghiêm trọng, có tiềm năng lâu dài cho các nhà phát triển trình duyệt. Các nhóm chuẩn Web hiện đang làm việc trên HTML 5, một đặc tả sẽ kết hợp các tính năng mới vào ngôn ngữ lập trình để phù hợp với thiết kế Web trong tương lai. Tuy nhiên, quá trình tiêu chuẩn di chuyển chậm, và những thay đổi đối với HTML có thể phá vỡ các trang Web hiện có, Maone nói.
"Đối với người sử dụng, tôi sợ không có sửa chữa nhưng NoScript trong thời gian này", ông nói.
