8
Bardzo zainteresowałem się czytaniem this genius post by Aza Raskin.Jak się bronić przed TabNabbing?
Jakie są rozwiązania nieobsługujące przeglądarek do ochrony przed TabNabbing? Czy są jakieś?
A
Odpowiedz
2
„Zakładka nabbing” nie jest nowy atak, pan Raskin jest oderwanie inni badacze pracują. PDP od GnuCitizen odkrył to back in 2008.
Największym zagrożeniem, jakie widzę, jest phishing. Szczerze mówiąc nie sądzę, że istnieje dobre rozwiązanie, aby powstrzymać wyłudzanie informacji. Te konkretne problemy powinny zostać naprawione przez przeglądarkę. W końcu Firefox i Chrome poradzą sobie z naprawą. Szczerze mówiąc, to większe zagrożenie, z którym zmagają się wszystkie przeglądarki, które mogą być używane wraz z tym atakiem przekierowania. Obecnie chrome ma poprawkę w postaci STS i Firefox w postaci HTTPs Everywhere. Używanie noscript pomoże również złagodzić ten atak ataków przekierowania.
+1
Dla każdego, kto naprawdę chce wiedzieć, co STS jest tutaj: http: //en.wikipedia.org/wiki/Strict_Transport_Security Warto zauważyć, że STS nie zatrzymuje tego ataku, chyba że część nagłówka STS o wartości "max-age" jest ustawiona na bardzo wysoką wartość, byłoby lepiej, gdyby miała nieskończoną wartość, widząc jak ja nie chcę mieć dostępu do mojego banku bez TLS w ciągu mojego życia. Dodatkowo, przeglądarka powinna przechowywać pamięć podręczną STS w pamięci trwałej (tzn. Na dysku), ale specyfikacja STS nie wymaga tego, miejmy nadzieję, że wszyscy dostawcy przeglądarek stosują zdrowy rozsądek i robią to. –
+0
@ Stacje do wyboru w stylu Longpoke są lepsze niż nic (IE, Safari, Opera nie mają ochrony). Chociaż myślę, że https wszędzie jest lepszym podejściem. – rook
+0
Oczywiście, że jest to lepsze niż nic, jeśli jest używane poprawnie, powinno być obowiązkowe, może przeglądarki mogą być również wysyłane z pamięcią podręczną STS, aby zapobiec atakom podczas bootstrap. także nie widzę, jak Raskin wyrzuca nikogo, tak jak "tabnabbing", tak jak większość ataków phishingowych to czysty zdrowy rozsądek. –
0
Zgodnie z sugestiami, użyj menedżera haseł. Istnieje wiele innych problemów, które mogą się zdarzyć, jeśli wpiszesz hasło za każdym razem. W witrynach, których menedżer haseł nie działa, masz problemy. Certyfikaty klienta ftw.
+0
W moim kraju większość banków internetowych używa klawiatury cyfrowej, aby zabezpieczyć się przed większością keyloggerów. To uniemożliwia korzystanie z menedżera haseł. Co rozumiesz przez certyfikaty klienta? –
+0
@Alix Axel: certyfikaty klienta X.509. Co rozumiesz przez klawiaturę cyfrową? Wpisywanie hasła w interfejs sieciowy? Mój bank sprawia, że też to robię i ogranicza się do 8-znakowego hasła alfanumerycznego. Szkoda dla nich. –
+0
Mam na myśli to: https://caixadirecta.cgd.pt/CaixaDirecta/loginStart.do i to: https://www.mbnet.pt/servlet/pvtn?TRN=NH45701F00. Pierwszy z nich to nasz bank narodowy (około 5 milionów klientów), na szczęście wymagają one kodu macierzy (https://caixadirecta.cgd.pt/StaticFiles/images/Caixa%20Directa%20Online/CartaoCEB.jpg), aby wykonać dowolne operacje, więc kradzież użytkownik/przepustka zapewni tylko dostęp do odczytu. Ta ostatnia jest bardziej krytyczna: jest połączona z krajową siecią bankomatów i generuje wirtualne karty kredytowe, a jednocześnie wymaga jedynie nazwy użytkownika i hasła (tylko wirtualne klawisze podlegają tylko hasłu). –
1
Jedną z rzeczy, która uniemożliwi tego typu zdarzenia, jest two factor authentication używając czegoś w rodzaju tokena RSA (niestety tylko jeden bank w tym kraju zapewnia tę metodę).
Token RSA to mały gadżet o rozmiarze USB, który ma stale zmieniający się numer seryjny/sekwencyjny i jest wydawany użytkownikowi (każdy z nich ma inną sekwencję numerów). Po zalogowaniu się na stronie internetowej banku musisz podać log/pass, a także bieżący numer na torze RSA - , który zmienia się co dwie minuty. Oznacza to, że jeśli złoczyńcy zbierali dane logowania, mają mniej niż dwie minuty na zalogowanie się na konto przed zmianą numeru kolejnego RSA, a przechwycone dane logowania stają się niemożliwe do ponownego użycia.
To uwierzytelnianie dwuskładnikowe nie jest jednak srebrną kulą, nie widzę, żeby Google wyświetlało to dla twojego losowego konta Gmail, ani Facebook. Powinien być obowiązkowy dla instytucji finansowych i rządowych departamentów online, co ograniczy zakres tego typu ataków. Jest to powszechnie stosowany mechanizm zabezpieczający do zdalnego dostępu do firmowych portali internetowych i zdalnych logowań sieciowych i jest to całkiem udane.
To nadal nie odpowiedział na twoje pytanie - w jaki sposób możesz zapobiec temu autorowi lub autorowi witryny? Nie możesz, chyba że nie uruchamiasz skryptów stron trzecich, i regularnie sprawdzaj swoje strony, aby upewnić się, że nie zostały naruszone zabezpieczenia i że został włożony skrypt. Nigdy nie powinieneś zastanawiać się nad skanowaniem skryptów stron trzecich, ponieważ mogą one zostać zaciemnione w niewiarygodnym stopniu, którego nie można przeskanować. Jeśli uruchamiasz skrypty stron trzecich i dobrze się z tym czujesz, możesz chcieć ustawić maszynę, która wszystko, co robi, to zautomatyzowane testy interfejsu użytkownika w twojej witrynie - jest to łatwe do skonfigurowania z kilkoma podstawowymi testami i po prostu pozostaw testowanie swojej witryny na żywo co 30 lub 60 minut, szukając nieoczekiwanych wyników.
+1
Uwierzytelnianie dwuetapowe jest genialne, ale jeśli chodzi o twoją odpowiedź, która ma skrypty stron trzecich, to tylko połowa problemu w taki sposób, w jaki ją widzę, a co jeśli StackOverflow na przykład zastąpił interfejs użytkownika interfejsem użytkownika Gmaila i podrapał adres URL, aby wyglądał jak Gmail ? –
+1
To powinno być normą dla ważnych rzeczy. Na szczęście Blizzard ma to zaimplementowane w World of Warcraft, ważne rzeczy! – mxmissile
+0
Uwierzytelnianie 2-czynnikowe nie pomoże. Strona atakująca może przekształcić się w stronę banku, a następnie działać jako serwer proxy. Użytkownik wprowadzi token bezpieczeństwa + nazwę użytkownika/hasło, a następnie przejdzie do jego danych konta. W trakcie procesu strona atakująca ma pełny dostęp do sesji użytkowników. Może to nawet obejść takie rzeczy jak captcha lub spersonalizowane wiadomości. –
0
Właśnie odwiedziłem stronę, o której wspomniałeś, a mój darmowy program antywirusowy (AVG) natychmiast wykrył zagrożenie (przypuszczam, że ma przykład na stronie) i ostrzegł mnie o Exploit Tabnapping.
Więc to jest jeden, proste, możliwość
+1
Nie, w zależności od programu antywirusowego wszystko jest głupie. AVG prawdopodobnie po prostu zakodował ten adres, ponieważ jest popularny, aby wyglądało na to, że ma jakiś magiczny fałszywy wykrywacz stron, więc więcej ludzi instaluje -> kup AVG. W każdym razie trudno mi uwierzyć, że zrobili coś tak głupiego. –
+0
ma skrypt uruchomiony na swojej stronie, po przeczytaniu artykułu zostawiłem otwartą przeglądarkę, po powrocie do mojego komputera, tytuł powiedział gmail itp., Jednak ekran był pusty – mxmissile
+0
@mxississ: Humm .. Weird. Pokazuje mi obraz Gmaila. –
Masz na myśli to, co mogą zrobić programiści lub co mogą zrobić użytkownicy? –
@Michael: Developerzy. –
Nice !! To trudne, aby ktokolwiek mógł definitywnie temu zapobiec. – slugster