IE8 nie ochroni przed atakami typu clickjacking

Nowa wersja przeglądarki Microsoftu zawiera narzędzie mające zapobiec atakom typu clickjacking. Jednak według wielu analityków sposób obsługi tej funkcji zagwarantuje użytkownikom jedynie minimalny poziom bezpieczeństwa.

Microsoft twierdzi, że udało mu się opracować przyjazne użytkownikowi zabezpieczenie przeciwko atakom typu clickjacking. Ataki te umożliwiają nie tylko manipulację treściami znajdującymi się na stronie, ale mogą również zmusić nieświadomego użytkownika do pobrania na swój komputer szkodliwego oprogramowania. Problem jest na tyle poważny, że eksperci do spraw bezpieczeństwa martwią się podejściem Microsoftu do tej kwestii. Otóż w przypadku proponowanego rozwiązania zabezpieczenie takie miałoby działać jedynie wtedy, kiedy administratorzy danej strony dodaliby w jej kodzie odpowiednie tagi. Jak nietrudno się domyśleć, zdecydowana większość stron nie będzie posiadać takich wpisów. Oznacza to, że użytkownicy Internet Explorera 8 nie będą świadomi, że mimo zapewnień Microsoftu, ich przeglądarka nie oferuje im takiej ochrony.

Internet Explorer 8 RC1 - co nowego?

Pierwszą osobą, która odkryła taką sytuację, był Robert Hansen, dyrektor firmy konsultacyjnej SecTheory. Poinformował on o tym Microsoft, który miał potraktować sprawę bardzo poważnie.

Zdanie w dyskusji zabrał również Giorgio Malone, który jest autorem wtyczki NoScript, kompatybilnej z Firefoksem. Jego rozwiązanie jest uważane za jedno z najbardziej skutecznych jeśli chodzi o zapobieganie takim atakom. Stwierdził on, że użytkownicy IE8 mogą błędnie sądzić, że są bezpieczni w Internecie dlatego, że korzystają z najnowszej przeglądarki Microsoftu.

Nawet jeśli Microsoft poprawi swoje rozwiązanie, to i tak użytkownicy IE będą narażeni na tego typu ataki. Powodem tego jest fakt, że istnieje wiele innych metod przeprowadzenia takich ataków, przed którymi przeglądarka Microsoftu nie chroni.