看來 瀏覽器大戰又有新的戰要打了 ---------------------------------------------------------------------------- 雖然微軟宣稱修補了點閱綁架漏洞，但資安專家們並不認為這是立即見效的方法， 因為微軟是要求網站業者及開發人員的配合，而不是直接保護使用者的安全。 微軟上週釋出的IE8 RC版瀏覽器強調可防堵點閱綁架（ClickJacking）漏洞。 然後，隨後Google的Chrome及Mozilla的Firefox先後傳出含有點閱綁架漏洞， 都讓點閱綁架問題再度浮上檯面，成為熱門討論議題。 點閱綁架漏洞是由WhiteHat Security技術長Jeremiah Grossman及SecTheory執行長 Robert Hansen在去年9月首度揭露，該漏洞可讓駭客仿造合法網頁，並將偽造的透明 網頁藏於合法網頁下，因此使用者以為是在合法網頁上的滑鼠點選，實際上是觸動了惡 意網頁的指令。如果駭客偽造的是銀行網頁，那麼使用者也許只是按了某一個網頁 連結，卻可能是將錢轉到陌生的帳戶中，駭客也可透過此漏洞讓使用者下載惡意程 式或是執行任何功能。 當時這兩名資安人員指出所有的瀏覽器都含有該漏洞，無一倖免。而一名安全研究人 Aditya Sood則在上週發表了針對Chrome瀏覽器的點閱綁架漏洞概念性驗證程式，該 程式除了影響Chrome外，Firefox亦在危及名單內，Google已著手修補相關漏洞並 不忘表示所有瀏覽器都會受到點閱綁架漏洞影響。 微軟IE專案經理Eric Lawrence旋在部落格中說明了IE8 RC1版在安全上的改善， 包含修補跨站冒名請求（Cross Site Request Forgery，CSRF）漏洞及點閱綁架漏洞。 Lawrence指出，防止點閱綁架漏洞最簡單而且最受歡迎的方式為frame-busting，限制自 家的網頁出現在瀏覽器最上端而不會被駭客網頁取代，但該方法必須使用容易被攻陷的 script，因此IE8採用新的X-FRAME-OPTIONS機制可讓網路應用程式說明哪些網頁不 能被加框取代而減輕點閱綁架漏洞所帶來的威脅。 Lawrence說明，當開發人員在網頁上傳送X-FRAME-OPTIONS的HTTP反應標頭時，就可限 制網頁被框住的形式，假設X- FRAME-OPTIONS的值是DENY，那麼IE8則不會呈現任何被 框住的網頁，如果其值為SAMEORIGIN，那麼IE8僅會防堵那些與網頁來源不同的頁面。 雖然微軟宣稱修補了點閱綁架漏洞，但資安專家們並不認為這是立即見效的方法， 因為微軟是要求網站業者及開發人員的配合，而不是直接保護使用者的安全。 其中Hansen認為，可能要經年累月再加上不斷地教育才能讓所有網站採用微軟的機制。 InternetNews.com則引述Grossman的看法指出，即使IE8提供網站開發人員可用的機制， 但使用者仍無從保護他們自己，同時該解決方案目前仍非跨平台的； Grossman認為應該要有一個所有瀏覽器都適用的解決方案。 由於點閱綁架漏洞屬於新興且非常複雜的漏洞，因此目前還沒有出現相關的攻擊， 但該漏洞可能帶來具大的威脅，使得包括瀏覽器業者及資安業者都積極尋求解 決該漏洞的方法。 目前出爐的解決方案之一為針對Mozilla Firefox設計的NoScript外掛程式，該程式 可關閉Script功能並阻擋利用框架的攻擊。（編譯/陳曉莉） 新聞來源: ITHOME http://www.ithome.com.tw/itadm/article.php?c=53231 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.74.180.246