Как защитить от TabNabbing?
Я получил очень соответствующее читать это сообщение гения Aza Raskin.
Что решения небраузеров состоят в том, чтобы защитить от TabNabbing? Есть ли кто-либо?
4 ответа
«Взлом вкладки» - не новая атака, г-н Раскин срывает работы других исследователей. PDP от GnuCitizen обнаружил это еще в 2008 году .
На мой взгляд, самая большая угроза - это фишинг. Честно говоря, я не думаю, что есть хорошее решение, чтобы остановить фишинг. Я думаю, что эти конкретные проблемы должны быть исправлены браузером. В конце концов Firefox и Chrome исправят это. Если честно, SSLStrip представляет собой большую угрозу, с которой сталкиваются все браузеры, и которую можно использовать вместе с этой атакой перенаправления. В настоящее время для Chrome есть исправление в виде STS и Firefox в виде HTTPs Everywhere . Использование noscript также поможет смягчить эту атаку перенаправления.
Я только что посетил упомянутую вами страницу, и моя бесплатная программа проверки на вирусы (AVG) сразу же обнаружила угрозу (я предполагаю, что у него есть пример на странице) и предупредила меня об использовании Tabnapping.
Итак, это одна простая возможность
Как он предлагает, используйте диспетчер паролей. Если каждый раз вводить пароль, может возникнуть ряд других проблем. Для сайтов, на которых не работает менеджер паролей, вы облажались. Клиентские сертификаты ftw.
Одна вещь, которая предотвратит подобные вещи, - это двухфакторная аутентификация с использованием чего-то вроде токена RSA (к сожалению, только один банк в этой стране предоставляет этот метод).
Токен RSA - это маленький USB-накопитель, на котором есть постоянно меняющийся серийный/последовательный номер, который выдается вам (на каждом накопителе своя последовательность номеров). Когда вы входите на сайт своего банка, вы должны ввести свой логин/пасс, а также текущий номер на токене RSA - этот номер меняется каждые две минуты. Это означает, что если злоумышленники соберут ваши регистрационные данные, у них будет менее двух минут, чтобы войти в ваш аккаунт, прежде чем текущий порядковый номер RSA изменится, и полученные регистрационные данные станет невозможно использовать повторно.
Однако эта двухфакторная аутентификация не является серебряной пулей, я не вижу, чтобы Google распространил ее на ваш случайный аккаунт Gmail, как и Facebook. Она должна быть обязательной для финансовых учреждений и правительственных ведомств в Интернете, это сократит масштабы такого рода атак. Это широко используемый механизм защиты для удаленного доступа к порталам веб-сайтов компаний и удаленного входа в сеть, и он вполне успешно справляется с этой задачей.
Однако это все еще не ответило на ваш вопрос - как вы, как автор или владелец сайта, можете предотвратить это? Никак, если вы не используете сторонние скрипты и регулярно проверяете свои страницы, чтобы убедиться, что вы не были взломаны и в вас не вставлен скрипт. Вы никогда не должны пытаться сканировать сторонние скрипты, потому что они могут быть обфусцированы до невероятной степени, и вы не сможете их просканировать. Если вы используете сторонние скрипты и чувствуете себя достаточно уверенно по этому поводу, то, возможно, вы захотите установить машину, которая будет выполнять только автоматическое тестирование пользовательского интерфейса вашего сайта - ее достаточно легко настроить с помощью нескольких базовых тестов и просто оставлять ее тестировать ваш живой сайт каждые 30 или 60 минут в поисках неожиданных результатов.