コンポーネント

Firefox拡張機能が危険なWeb攻撃をブロックする

NoScriptは、Firefoxに統合された小さなアプリケーションです。Firefoxのセキュリティツールは、Webに直面している最も危険で厄介なセキュリティ問題の1つをブロックするようにアップグレードされました。これは、JavaScriptやJavaなどのプログラミング言語のスクリプトを、信頼できないWebページで実行するのをブロックします。スクリプトはPC上で攻撃を開始するために使用される可能性があります。

NoScript、バージョン1.8.2.1の最新リリースは、Webを閲覧している人が悪意のある目に見えないリンクをクリックするいわゆるクリックジャックを止めます。

[詳しい情報:あなたのWindows PCからマルウェアを削除する方法]

クリックジャックは数年前から知られていましたが、後に再び注目を集めています。 2人のセキュリティ研究者、Robert HansenとJeremiah Grossmanは、先月、個人のプライバシーを危険にさらす可能性のある新しいシナリオを警告し、銀行口座から金銭を盗むことになると警告しました。

残念ながら、HTMLの基本的な設計機能Maone氏によると、Webサイトは他のWebページからのコンテンツを埋め込むことができる。ほぼすべてのWebブラウザはクリックジャック攻撃の脆弱性があります

「Webとブラウザのファブリックの一部なので、修正するのは非常に難しいことです」とMaone氏は述べています

埋め込まれたコンテンツは不可視ですが人はまだ知らないうちにそれと対話することができます。クリックジャック攻撃は、ある機能を実行しているように見えるボタンをクリックするようにユーザーを誘惑させることによってそれを利用するが、実際にはまったく別のことをする。

クリックジャックは、Adobeのような他のアプリケーションのプラグインフラッシュプログラムとマイクロソフトのSilverlight。たとえば、最近の研究では、クリックジャック攻撃が、人のWebカメラやマイクを知らずに起動する可能性があることを示しています。Adobeは、火曜日の諮問で、Flashのパッチを

ClearScriptと呼ばれるNoScriptの改良により、Webページ内に隠れた埋め込み要素があるかどうかを検出できます。

Maoneによると、ClearClickはすべてのクリックジャッキの試みを中止する可能性が高いと述べています。 NoScriptはFirefoxブラウザのみのため、世界で最も使用されているブラウザであるMicrosoftのInternet Explorerのユーザーは脆弱です

しかし、Webサイトの所有者は、 Maoneは言った。プログラマは、Webページが別のページに埋め込まれているかどうかを確認するスクリプトをWebサイトで使用できます。もしそうなら、スクリプトはクリックジャックを防止するために良いWebページを前面に押しつけると、Maoneは述べている。この技術は "フレームバスト"と呼ばれている。サイバー犯罪者のターゲットとなることが多いPayPalのEbayのオンライン決済サービスは、すでにフレームバストを実装しているという。 Maone氏によると、NoScriptはフレームバッファリングスクリプトの実行を許可しているとMaone氏は述べている。

"Webサイトの所有者がセキュリティについてもっと慎重に考えるようになることが最善のことだ。 「ウェブサイトの所有者がフレームバスト処理を実装するべきだという声が広がっていることが重要です」。

クリックジャッキは、ブラウザ開発者にとって重大で潜在的に長期的な問題です。

Web標準化グループは現在、将来のWebデザインに対応するためにプログラミング言語に新しい機能を組み込む仕様であるHTML 5を作成しています。しかし、標準プロセスが遅くなり、HTMLの変更が既存のWebページを壊す可能性がある、とMaone氏は述べる。 "ユーザーにとっては、当面はNoScriptだがNoScriptは恐れている"