IE8的点击劫持修复不了多少帮助，专家说

微软发布该技术是其下一个早期“候选版本”测试版的一部分。最新一代的Internet Explorer 8浏览器，称该公司已经为一种称为点击劫持的攻击开发了“消费者就绪”防护功能。在点击劫持中，攻击者使用特殊的Web编程欺骗受害者点击Web按钮而不知道它。这种攻击很难取消，但最糟糕的情况是，点击劫持可以做一些非常令人讨厌的事情，比如在财务网站上执行股票交易，更改路由器或防火墙配置，甚至强迫某人下载不需要的软件。问题是如此之大以至于安全专家担心微软的方法只适用于网站开发者在其页面上添加特殊标签以防止他们自己的Web按钮被滥用的情况，这可能最终会给IE用户一种虚假的安全感。

[进一步阅读：如何从Windows PC中删除恶意软件]

“这不是解决任何想象中的点击劫持问题，对于使用IE8的少数人来说，这是一个模糊的缓解因素，”首席执行官罗伯特汉森说。 SecTheory咨询公司，以及首先向微软报告问题的人之一。 “但有趣的是，他们正在认真对待它。”

尽管一些网站肯定会使用微软的技术来防止他们的IE访问者被点击劫持击中，但HTML代码不太可能存在的其他领域更新和黑客可能会发起攻击 - 针对路由器管理界面或企业应用程序，或追赶没有得到实施微软修补程序的网站。 “这是一个解决方案，即使每个人都认为这是做事的正确方式，它仍然需要几年和几年的教育，”Hansen说，“更糟糕的是，有些用户可能错误地认为他们受到保护据Firefox的NoScript插件的开发者Giorgio Maone称，他们只是因为他们使用的是IE浏览器，这种攻击通常被认为是许多基于Web的攻击（包括点击劫持）的最佳保护。 “对于IE爱好者来说坏消息是，他们没有任何魔术”开箱即可“保护，”他在周二的博客上写道。 “确实，它不需要任何'浏览器插件'……但它有一个更严格的要求：所有要保护的网站必须已经采用了新的专有技术，即没有最终用户可以验证的内容，更不用说执行了。“

NoScript允许用户在Firefox浏览器中选择性地阻止使用脚本语言。因为clickjacking需要编写脚本，所以当NoScript被启用时攻击不起作用。

几个月来，Maone的插件一直是阻止点击劫持的最着名的技术。但是，对于IE 8测试代码，Microsoft终于有了自己的选择。为了解决这个问题，Maone正在开发兼容性功能，以便NoScript用户能够利用IE使用的相同Web代码，并且他现在正在游说在即将推出的Firefox版本中包含此功能。

Hansen和Maone也批评微软阻止技术细节的技术。 “尽管他们已经实现了这一点，但他们还没有给出如何实际使用它的指导，”Hansen说，“在一封电子邮件声明中，微软表示，它计划在反垃圾邮件中发布一篇博客文章在本周的某个时候发布，并且它已经与所有主要浏览器供应商合作，“在发布Internet Explorer 8 RC1之前，获得有关实施clickjacking标签的反馈和输入。”

该帖子可能会有所帮助。就目前来看，它看起来像“这个功能不允许用户保护自己，”白帽安全公司首席技术官Jeremiah Grossman说，“

汉森说，微软开发人员几个月前首次提出了他们的IE8点击劫持，当时他首先向他们描述了这个问题。 “我认为这不是一个长期的，可行的点击劫持解决方案，”他说。“