联网安全环境险恶 点击劫持祸害不浅
如果你在上网点击时一不小心,那么你或许就会成为点击劫持(Clickjack)的受害者。可能用户在上网时会遇到“是”的确定按钮来或者“提交”按钮来表示同意提交个人资料。但是你真的知道你点击的是什么吗?如果稍微不小心的话,你可能就是点击劫持(Clickjack)的受害者。互联网上存在有大量的危险,如果系统里存在有某些特定的安全漏洞的话,那么攻击者会搜集到用户的点击并且迫使用户做所有的事情,从调整个人设置到毫不知情地访问有着恶意代码的站点。一个攻击者可以潜在地将一个自制的按钮藏匿于合法按钮之下,使得用户很难辨别。据了解,这种恶意的点击劫持按钮的工作原理巧妙地利用了Adobe Flash以及脚本语言的漏洞。白帽安全公司(WhiteHat Security)创始人Jeremiah Grossma因于今年早些时候揭示了点击劫持安全隐患利用了Adobe的漏洞而享誉业界,得知此信息并加以验证的Adobe公司立即更新了其Adobe Flash产品,目前最新的Flash 10播放器在点击劫持安全上做得非常不错。Flash上的安全隐患虽然得到了暂时地解决,但是浏览器依然存在着众多令互联网用户暴露给攻击者的安全隐患。点击劫持也可以通过恶意的内嵌框架(iframe)。内嵌框架其实就是框架网页,即在同一个页面里有多个网页,使用框架的好处就是你在请求一个网页的下一个页面的时候,还有一个网页是一直显示着的,这样浏览者就不会就的等待的存在了。考虑到很多框架内容来自其他源头,因此仅仅移除掉内嵌框架不是一个必要的安全修复措施。但是关闭掉内嵌框架来达到安全的目的会对互联网广告关闭大门从而有损整个收入模式。Jeremiah Grossman就指出,“我认为以后的浏览器不会把关闭内嵌框架作为其默认设置。”微软IE浏览器团队安全程序经理Eric Lawrence也非常赞同Grossman的观点。内嵌框架对于许多内容聚合脚本以及一些形式的网络广告非常重要,他指出应该把重点聚焦于更好的内嵌框架隔离方式上,只有这样才能够降低点击劫持的风险。Lawrence表示,“考虑到点击劫持就是针对浏览器最基础的工作原理而精心设计的,因此对于浏览器本身来讲点击劫持是个最难克服的安全隐患之一。目前对于这种有着安全隐患的副作用,我们必须得找到一个缓解之道,我们必须得找到一个不破坏内嵌框架的同时尽最大可能降低安全隐患威胁程度。”此外目前常规的内嵌框架也会潜在地被利用来进行点击劫持,而FRAME和IFRAME都是网络浏览器必不可少的超文本标识语言(HTML)标准的一部分。尽管点击劫持会严重影响到网站的终端用户,但是通过被注入漏洞入侵代码屡受点击劫持攻击的网站也深受其害。就此Grossman和Lawrenc强调了合理的网站服务器安全。微软的下一代浏览器IE8将会有着让不同的浏览器标签运行在不同的进程的特性,而这极大降低了安全隐患,据了解谷歌的Chrome浏览器也在尝试着类似的技术。对于Mozilla火狐浏览器的用户来讲有着一个名为No Script的插件可供使用。该插件能够辨别所有运行在页面上的脚本,可以用来有效阻挡潜在的点击劫持的尝试。但是有安全专家指出有一点急需得到大家的共识,就算是通过SSL(加密套接字协议层)登入安全站点也不会使得用户的浏览器摆脱点击劫持的阴影。举个列子,如果用户在浏览器的一个标签上打开了一个账户的页面,而其他标签上在使用社交网站,那么其中一个标签上运行的脚本可能会潜在地偷窃另一个标签页面上的账户信息。