マイクロソフトは、 Internet Explorer 8のブラウザで、クリックジャックと呼ばれる攻撃に対する「消費者対応」保護機能を開発したという。クリックジャックでは、攻撃者は特別なWebプログラミングを使用して、犠牲者にそれを実現させることなくWebボタンをクリックするように仕向けます。その攻撃は難しいが、最悪の場合、クリックジャックは、金融Webサイトでの株式取引の実行、ルーターやファイアウォールの設定の変更、不要なソフトウェアのダウンロードを強いるなど、非常に厄介なことをする可能性がある。
Webサイトの開発者が独自のWebボタンを誤用しないように特別なタグをページに追加する場合にのみ機能するMicrosoftのアプローチは、IEユーザーに誤ったセキュリティ感覚を与える可能性があることをセキュリティ専門家が懸念している。
「想像力を駆使してクリックジャックする方法ではなく、IE8を使用する非常に少数の人々のための緩やかな軽減要因です」とCEOのRobert Hansenは述べていますSecTheoryのコンサルタントの一人であり、Microsoftに初めてこの問題を報告した人々の一人です。 「しかし、彼らは真剣に取り組んでいるのは興味深い」と述べた。
一部のWebサイトでは、IEの訪問者がクリックジャックに襲われるのを防ぐためにマイクロソフトのテクノロジを使用することは確実だが、HTMLコードが存在しそうにないハッカーは、ルーターの管理インターフェイスや企業アプリケーションをターゲットにした攻撃や、マイクロソフトの修正プログラムの実装に慣れていないWebサイトの攻撃を開始する可能性があります。ハンセン氏は、これは、誰もがこれが正しいことだと誰も判断したとしても、何年も何年もの教育を必要とする解決策だ」と述べた。 Firefox NoScriptプラグインの開発者であるGiorgio Maoneによれば、IEを使用しているという理由だけで攻撃を受けることができます。これはクリックジャックを含む多くのWebベースの攻撃から最も優れていると一般に考えられています。 「IE愛好者のための悪いニュースは、彼らが魔法を「箱から守っていない」ということではないということだ」と彼のブログで火曜日に書いている。 「実際には、ブラウザのアドオンは必要ありませんが、さらに厳しい要件があります:保護されるすべてのサイトは、エンドユーザーが検証できる新しい独自のハックをすでに採用しているに違いありません。 NoScriptは、Firefoxブラウザ内でスクリプト言語の使用を選択的にブロックすることができます。クリックジャックはスクリプティングが必要なため、NoScriptが有効な場合、攻撃は機能しません。Maoneのプラグインは数ヶ月間、クリックジャックを阻止するための最もよく知られた技術でした。しかし、IE 8のテストコードでは、マイクロソフト社には独自の選択肢があります。
MaoneはNoScriptユーザーがIEで使用されているのと同じWebコードを利用できるように互換機能を開発しています。彼は現在、この機能をFirefoxの次期バージョンに含めるよう働きかけている。
HansenとMaoneは、Microsoftが技術の技術的詳細を控えていると非難した。ハンセン氏によると、電子メールによる声明で、マイクロソフト社は、アンチクリックジャッキングに関するブログ記事を載せようとしていると語ったInternet Explorer 8 RC1を出荷する前に、クリックジャックのタグの実装についてのフィードバックと入力を行うために、すべての主要なブラウザベンダーと協力していた」と述べた。
その投稿は参考になるかもしれない。物事が今立つと、「この機能はユーザーが自分自身を守ることを許していないようです」とWhite Hat Securityの最高技術責任者、Jeremiah Grossmanは述べています。
ハンセン氏によると、マイクロソフトの開発者は、数か月前に問題を最初に説明したときに、IE8クリックジャックの修正案を最初に提案したという。 「私は、クリックジャックするための長期的かつ実行可能な解決策ではないと棄却した」と彼は述べた。
