NoScript是一个集成到Firefox中的小型应用程序。它阻止编程语言(如JavaScript和Java)中的脚本在不可信的网页上执行。这些脚本可用于在PC上发动攻击。
NoScript的最新版本1.8.2.1版将停止所谓的“点击劫持”,即浏览网页的用户点击恶意的,不可见的链接意识到这一点,意大利安全研究员Giorgio Maone表示,他编写和维护该程序。
[进一步阅读:如何从Windows PC中删除恶意软件]
点击劫持已为人所知多年,但之后又引起了关注两名安全研究人员罗伯特汉森和杰里米亚格罗斯曼上个月警告说,可能危及个人隐私或甚至更糟糕的新情况会从银行账户窃取资金。遗憾的是,由于HTML中的基本设计特性,点击劫持是可能的允许网站嵌入来自其他网页的内容,Maone说。几乎所有的Web浏览器都容易受到点击劫持攻击
“这是一个非常难以解决的问题,因为它是Web和浏览器结构的一部分,”Maone说,
嵌入式内容可能不可见,但一个人仍然可以在不知不觉中与之互动。点击劫持攻击利用欺骗用户点击按钮来完成一些功能,但实际上做了完全不同的事情。点击劫持也可以通过操纵其他应用程序的插件来完成,例如Adobe的Flash程序和微软的Silverlight。例如,最近几天研究人员已经表明,在不知情的情况下发生点击劫持攻击可能会打开一个人的网络摄像头和麦克风。在周二的一份咨询报告中,Adobe表示,它将在周二结束时为Flash发行补丁
NoScript的新改进,名为ClearClick,可以检测Web页面中是否存在隐藏的嵌入元素。然后,它会显示一条警告消息,询问用户是否仍想点击它。
Maone表示,ClearClick可能会停止所有的点击劫持尝试。 NoScript仅适用于Firefox浏览器,因此微软IE浏览器的用户 - 世界上使用最多的浏览器 - 很容易受到攻击。然而,网站所有者可以采取一步措施防止其用户成为受害者,毛恩说。程序员可以在他们的网站上使用一个脚本来检查一个网页是否嵌入到另一个页面中。如果是这样,这个脚本强制前面的好网页,防止点击劫持,Maone说。
这种技术被称为“framebusting”。 Maone表示,易趣的在线支付服务PayPal常常被网络犯罪分子所利用,目前已经实施了大爆炸。 Maone说:“最好的事情是,网站所有者开始更仔细地考虑安全问题,”Maone说。 “Web站点所有者传播他们应该实施的框架是非常重要的。”
对浏览器开发人员来说,点击劫持是一个严重的,潜在的长期问题。由于攻击是通过HTML中的一项功能实现的,因此需要对HTML规范进行更改
Web标准组目前正在开发HTML 5,这是一项将新功能融入编程语言以适应未来Web设计的规范。但标准过程缓慢,对HTML的改变可能会破坏现有的网页,“Maone说,”对于用户,恐怕暂时没有修复,但是NoScript,“他说。