Click8 IE8 Clickjacking Fix Not Much Help، Experts Say

أصدرت شركة مايكروسوفت هذه التقنية كجزء من نسخة تجريبية من "الإصدار المرشح" المبكر متصفح إنترنت إكسبلورر 8 ، قائلاً إن الشركة طورت حماية "جاهزة للمستهلك" لهجوم يعرف باسم النقر. في لعبة clickjacking ، يستخدم المهاجمون برمجة ويب خاصة لخداع الضحايا في النقر فوق أزرار الويب دون أن يدركوا ذلك. من الصعب إيقاف الهجوم ، ولكن في أسوأ حالاته ، يمكن أن يؤدي الانتحال إلى القيام بأشياء سيئة للغاية ، مثل تنفيذ عمليات تداول الأسهم على مواقع الويب المالية ، أو تغيير تكوينات جهاز التوجيه أو الجدار الناري ، أو حتى إجبار شخص ما على تنزيل برامج غير مرغوب فيها.

المشكلة كبيرة للغاية لدرجة أن خبراء الأمن قلقون من أن نهج Microsoft ، الذي يعمل فقط عندما يضيف مطورو مواقع الويب علامات خاصة إلى صفحاتهم تمنعهم من إساءة استخدام أزرار الويب الخاصة بهم ، قد ينتهي الأمر بإعطاء مستخدمي IE إحساسًا زائفًا بالأمان.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

"إنه ليس حلاً للانتزاع من أي جزء من الخيال. إنه عامل مخفف بشكل مبهم لعدد قليل جدًا من الأشخاص الذين يستخدمون IE8" ، قال روبرت هانسن ، الرئيس التنفيذي من الاستشارات SecTheory واحد من الأشخاص الذين قاموا بالإبلاغ عن المشكلة لأول مرة إلى Microsoft. "ولكن من المثير للاهتمام أنهم يأخذونها على محمل الجد."

في حين أن بعض مواقع الويب ستستخدم بالتأكيد تقنية مايكروسوفت لمنع زوارها من التعرض لضربات النقر ، هناك ببساطة الكثير من المجالات الأخرى التي من غير المرجح أن تكون فيها شفرة HTML يمكن للمتطفلين الذين تم تحديثهم إطلاق هجمات - استهداف واجهات التوجيه الخاصة بالموجّه أو تطبيقات الشركة ، أو متابعة مواقع الويب التي لم يتم تنفيذها لتنفيذ إصلاح Microsoft. وقال هانسن: "هذا حل ، حتى لو قرر الجميع أن هذه هي الطريقة الصحيحة لفعل الأشياء ، فإن الأمر سيستغرق سنوات وسنوات من التعليم." أسوأ من ذلك ، قد يعتقد بعض المستخدمين خطأ أنهم محميون من هجوم فقط لأنهم يستخدمون IE ، وفقا لجورجيو Maone ، المطور من البرنامج المساعد فايرفوكس NoScript ، الذي يعتبر عموما أفضل حماية من العديد من الهجمات على شبكة الإنترنت ، بما في ذلك النقاد. وكتب في مدونته يوم الثلاثاء "الاخبار السيئة لعشاق انترنت اكسبلورر هي أنه ليس لديهم سحر" من الحماية ". "صحيح ، أنها لا تتطلب أي" إضافة للمستعرض "… ولكنها تأتي مع متطلبات أكثر صرامة: يجب أن تكون جميع المواقع التي ستتم حمايتها قد اعتمدت بالفعل اختراقًا جديدًا ، أي شيء لا يمكن للمستخدم النهائي التحقق منه ، ناهيك عن تطبيق يتيح للمستخدمين.

NoScript يتيح للمستخدمين حظر استخدام لغات البرمجة النصية بشكل انتقائي داخل متصفح فايرفوكس. نظرًا لأن عملية النقر تتطلب البرمجة النصية ، فإن الهجوم لا يعمل عند تمكين NoScript.

بالنسبة للأشهر ، كان المكون الإضافي لماون هو أفضل تقنية معروفة لإحباط اختطاف النقرات. ومع وجود رمز اختبار IE 8 ، فإن لدى Microsoft أخيراً بديلها الخاص.

للمساعدة في الوضع ، يقوم Maone بتطوير ميزة توافق بحيث يتمكن مستخدمو NoScript من الاستفادة من نفس رمز الويب المستخدم من قبل IE ، و وهو الآن يضغط من أجل تضمين هذه الميزة في إصدار قادم من فايرفوكس.

كما انتقد هانسن وماون مايكروسوفت لإبقائها على التفاصيل التقنية للتكنولوجيا. وقال هانسن: "على الرغم من أنهم نفّذوا ذلك ، إلا أنهم لم يقدموا توجيهات حول كيفية استخدامه بالفعل".

في بيان أرسل بالبريد الإلكتروني ، قالت مايكروسوفت إنها تعتزم طرح مشاركة مدونة حول مكافحة النقر ميزة في وقت ما من هذا الأسبوع وأنها عملت مع جميع موردي المستعرضات الرئيسيين "للحصول على تعليقات ومدخلات حول تنفيذنا لعلامة النقر على الزر قبل شحن Internet Explorer 8 RC1."

قد تكون هذه المشاركة مفيدة. وكما تبدو الأمور الآن ، يبدو أن "الميزة لا تسمح للمستخدم بحماية نفسه" ، يقول جيريما غروسمان ، رئيس قسم التكنولوجيا في وايت هات للأمن.

وقال هانسن إن مطوري مايكروسوفت اقترحوا أولاً حل مشكلة الاختراق IE8 قبل عدة أشهر عندما وصف المشكلة لهم أولاً. وقال: "لقد رفضت ذلك باعتباره حلاً قابلاً للحياة على المدى الطويل للاستعانة به."