作者timmy5519 (阿銓啦)
看板Browsers
標題[新聞] IE 8 RC版再掀點閱綁架議題
時間Tue Feb 3 19:24:15 2009
看來 瀏覽器大戰又有新的戰要打了
----------------------------------------------------------------------------
雖然微軟宣稱修補了點閱綁架漏洞,但資安專家們並不認為這是立即見效的方法,
因為微軟是要求網站業者及開發人員的配合,而不是直接保護使用者的安全。
微軟上週釋出的IE8 RC版瀏覽器強調可防堵點閱綁架(ClickJacking)漏洞。
然後,隨後Google的Chrome及Mozilla的Firefox先後傳出含有點閱綁架漏洞,
都讓點閱綁架問題再度浮上檯面,成為熱門討論議題。
點閱綁架漏洞是由WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長
Robert Hansen在去年9月首度揭露,該漏洞可讓駭客仿造合法網頁,並將偽造的透明
網頁藏於合法網頁下,因此使用者以為是在合法網頁上的滑鼠點選,實際上是觸動了惡
意網頁的指令。如果駭客偽造的是銀行網頁,那麼使用者也許只是按了某一個網頁
連結,卻可能是將錢轉到陌生的帳戶中,駭客也可透過此漏洞讓使用者下載惡意程
式或是執行任何功能。
當時這兩名資安人員指出所有的瀏覽器都含有該漏洞,無一倖免。而一名安全研究人
Aditya Sood則在上週發表了針對Chrome瀏覽器的點閱綁架漏洞概念性驗證程式,該
程式除了影響Chrome外,Firefox亦在危及名單內,Google已著手修補相關漏洞並
不忘表示所有瀏覽器都會受到點閱綁架漏洞影響。
微軟IE專案經理Eric Lawrence旋在部落格中說明了IE8 RC1版在安全上的改善,
包含修補跨站冒名請求(Cross Site Request Forgery,CSRF)漏洞及點閱綁架漏洞。
Lawrence指出,防止點閱綁架漏洞最簡單而且最受歡迎的方式為frame-busting,限制自
家的網頁出現在瀏覽器最上端而不會被駭客網頁取代,但該方法必須使用容易被攻陷的
script,因此IE8採用新的X-FRAME-OPTIONS機制可讓網路應用程式說明哪些網頁不
能被加框取代而減輕點閱綁架漏洞所帶來的威脅。
Lawrence說明,當開發人員在網頁上傳送X-FRAME-OPTIONS的HTTP反應標頭時,就可限
制網頁被框住的形式,假設X- FRAME-OPTIONS的值是DENY,那麼IE8則不會呈現任何被
框住的網頁,如果其值為SAMEORIGIN,那麼IE8僅會防堵那些與網頁來源不同的頁面。
雖然微軟宣稱修補了點閱綁架漏洞,但資安專家們並不認為這是立即見效的方法,
因為微軟是要求網站業者及開發人員的配合,而不是直接保護使用者的安全。
其中Hansen認為,可能要經年累月再加上不斷地教育才能讓所有網站採用微軟的機制。
InternetNews.com則引述Grossman的看法指出,即使IE8提供網站開發人員可用的機制,
但使用者仍無從保護他們自己,同時該解決方案目前仍非跨平台的;
Grossman認為應該要有一個所有瀏覽器都適用的解決方案。
由於點閱綁架漏洞屬於新興且非常複雜的漏洞,因此目前還沒有出現相關的攻擊,
但該漏洞可能帶來具大的威脅,使得包括瀏覽器業者及資安業者都積極尋求解
決該漏洞的方法。
目前出爐的解決方案之一為針對Mozilla Firefox設計的NoScript外掛程式,該程式
可關閉Script功能並阻擋利用框架的攻擊。(編譯/陳曉莉)
新聞來源:
ITHOME
http://www.ithome.com.tw/itadm/article.php?c=53231
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.74.180.246
推 Ice9:很多瀏覽器都內建有將 script 給 disable 的功能不是嗎? 02/03 19:59
推 Luciferspear:就像是下載便當的時候一點就跳一堆廣告出來那樣嗎 02/03 20:03
→ darKyle:全部擋掉的話很多網路服務都不能用 套件可以選擇性允許 02/03 20:05
→ darKyle:回Lucifer: 不是廣告 廣告頂多是煩了點 clickjack通常是惡 02/03 20:08
→ darKyle:意的 請google clickjack 02/03 20:09