albinowax - HTTP Desync Attacks: Smashing into the Cell Next Door - DEF CON 27 Conference
A free free تمت ترقية أداة الأمان الخاصة بمتصفح فايرفوكس لحجب واحدة من أخطر مشاكل الأمان التي تواجه الويب اليوم.
NoScript هو تطبيق صغير يتكامل مع فايرفوكس. يحظر البرامج النصية في لغات البرمجة مثل JavaScript و Java من التنفيذ على صفحات الويب غير الموثوق بها. يمكن استخدام البرامج النصية لشن هجوم على جهاز كمبيوتر.
سيوقف الإصدار الأخير من NoScript ، الإصدار 1.8.2.1 ، ما يسمى بـ "النقر" ، حيث يقوم شخص يتصفح الويب بالنقر فوق ارتباط خبيث وغير مرئي بدون وقال جيورجيو ماون ، وهو باحث أمني إيطالي قام بكتابة البرنامج وصيانته.
[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]تم التعرف على Clickjacking منذ عدة سنوات ولكنه يجذب الانتباه مرة أخرى بعد حذر باحثان أمنيان ، هما روبرت هانسن وإرميا غروسمان ، في الشهر الماضي من سيناريوهات جديدة يمكن أن تؤثر على خصوصية الشخص أو حتى أسوأ من ذلك ، حيث يسرق المال من حساب مصرفي.
للأسف ، يمكن أن يكون الانتقاء ممكنًا بسبب ميزة تصميم أساسية في HTML تسمح مواقع الويب بتضمين محتوى من صفحات ويب أخرى ، كما قال ماوني. تتعرض جميع متصفحات الويب تقريبًا لخطر الاختراق.
"إنه أمر صعب للغاية إصلاحه لأنه جزء من نسيج الشبكة والمتصفح"
المحتوى المضمّن يمكن أن يكون غير مرئي لا يزال بإمكان الشخص أن يتفاعل معها دون قصد. يستفيد هجوم النقر من ذلك من خلال خداع المستخدم للنقر على زر يبدو وكأنه يقوم ببعض الوظائف ولكنه في الواقع يفعل شيئًا مختلفًا تمامًا.
يمكن أيضًا تحقيق Clickjacking عن طريق معالجة المكونات الإضافية للتطبيقات الأخرى ، مثل Adobe برنامج فلاش و Microsoft Silverlight. على سبيل المثال ، أظهر الباحثون في الأيام الأخيرة أنه من الممكن أن يؤدي هجوم النقر إلى تشغيل كاميرا الويب والميكروفون الخاصين بشخص ما دون علمهم.
في تقرير استشاري يوم الثلاثاء ، قالت شركة Adobe أنها ستصدر تصحيحًا لبرنامج Flash بنهاية الشهر.يمكن للتحسين الجديد إلى NoScript ، المسمى ClearClick ، اكتشاف ما إذا كان هناك عنصر مخفي ومدمج ضمن صفحة الويب. ثم يعرض رسالة تحذير تطلب من المستخدم ما إذا كان لا يزال يريد النقر عليها.
Maone قال من الواضح أن ClearClick سيوقف كل محاولات النقر. نوسكريبت هو فقط لمتصفح فايرفوكس ، لذا فإن مستخدمي مايكروسوفت إنترنت إكسبلورر - المتصفحات الأكثر استخداما في العالم - معرضون للخطر.
مالكي مواقع الإنترنت ، ومع ذلك ، يمكنهم اتخاذ خطوة واحدة لمنع مستخدميهم من الوقوع ضحية ، قال ماوني. يمكن للمبرمجين استخدام برنامج نصي على مواقع الويب الخاصة بهم بالتحقق مما إذا كانت صفحة الويب مضمنة في صفحة أخرى. إذا كان الأمر كذلك ، فإن البرنامج النصي يفرض صفحة ويب جيدة في المقدمة ، مما يمنع الانتناف ، يقول ماوني.
هذه التقنية تسمى "framebusting". وقال ماوني إن خدمة الدفع عبر الإنترنت التي تقدمها Ebay ، وهي PayPal ، والتي يستهدفها مجرمو الإنترنت بشكل متكرر ، قد نفذت بالفعل عملية وضع الإطارات. وقال ماوني إن نوسكريبت سيسمح بتشغيل نص بروجيكتوري للنص البرمجي.
"أفضل شيء يمكن أن يحدث هو أن مالكي مواقع الإنترنت بدأوا بالتفكير بعناية أكبر حول الأمن". "من المهم أن يقوم مالكو موقع الويب بنشر الكلمة التي يجب عليهم تطبيقها على framebusting."
Clickjacking هو مشكلة خطيرة ، وطويلة الأجل محتملة لمطوري برامج التصفح. بما أن الهجوم تم تمكينه بواسطة ميزة داخل HTML ، فإنه يتطلب تغييرات في مواصفات HTML.
تعمل مجموعات معايير الويب حاليًا على HTML 5 ، وهي مواصفات ستدمج ميزات جديدة في لغة البرمجة لاستيعاب تصميم الويب في المستقبل. لكن عملية المعايير تتحرك ببطء ، والتغييرات التي أدخلت على HTML يمكن أن تكسر صفحات الويب الموجودة.
<>بالنسبة إلى المستخدم ، أخشى أنه لا يوجد حل لكن نوسكريبت في الوقت الراهن
Oracle Issues Warning Over Dangerous WebLogic Flaw
Oracle is a scrambling to create a emergency patch for a sever vulnerability in the company WebLogic server، as exploit code…
Russian Cybergangs Make the Web a Dangerous Place
أنشأت عصابات الإنترنت الروسية نظامًا قويًا لتعزيز مواقع الويب التي تبيع برامج مكافحة الفيروسات المزورة.
Mozilla Blocks the Microsoft's Buggy Firefox Plugin
Citation issues security، Mozilla is blocking a Microsoft .Net Firefox pugin that was silently installed on PCs early this year.