Clickjacking do IE8 não ajuda muito, dizem especialistas

"Não é uma solução para o clickjacking em qualquer extensão da imaginação. É um fator vagamente mitigador para as poucas pessoas que usam o IE8", disse Robert Hansen, CEO da consultoria SecTheory e uma das pessoas que relataram o problema pela primeira vez à Microsoft. "Mas é interessante que eles levem a sério."

Embora alguns sites certamente usem a tecnologia da Microsoft para impedir que seus visitantes do IE sejam atingidos por clickjacking, há muitas outras áreas em que é improvável que o código HTML seja usado. atualizados e os hackers poderiam lançar ataques - direcionando interfaces administrativas do roteador ou aplicativos corporativos, ou indo atrás de sites que não conseguiram implementar a correção da Microsoft. "Esta é uma solução que, mesmo que todos decidam que este é o caminho certo para fazer as coisas, ainda levará anos e anos de educação", disse Hansen.

Pior, alguns usuários podem pensar erroneamente que estão protegidos ataque apenas porque eles estão usando o IE, de acordo com Giorgio Maone, o desenvolvedor do plugin Firefox NoScript, que geralmente é considerado a melhor proteção contra muitos ataques baseados na Web, incluindo clickjacking. "A má notícia para os entusiastas do IE é que eles não têm proteção mágica 'out of the box'", escreveu ele em seu blog na terça-feira. "É verdade que não requer nenhum 'complemento do navegador' … mas vem com um requisito ainda mais rígido: todos os sites a serem protegidos já devem ter adotado um novo hack proprietário, ou seja, algo que nenhum usuário final pode verificar, muito menos impor. "

O NoScript permite que os usuários bloqueiem seletivamente o uso de linguagens de script no navegador Firefox. Como o clickjacking requer scripts, o ataque não funciona quando o NoScript está habilitado.

Por meses, o plug-in do Maone tem sido a tecnologia mais conhecida para evitar o clickjacking. Com o código de teste do IE8, a Microsoft finalmente tem sua própria alternativa.

Para ajudar a situação, Maone está desenvolvendo um recurso de compatibilidade para que os usuários do NoScript possam tirar proveito do mesmo código da Web usado pelo IE, e Ele agora está fazendo lobby para incluir esse recurso em uma versão futura do Firefox. Hansen e Maone também criticaram a Microsoft por não ter detalhes técnicos da tecnologia. "Mesmo que eles tenham implementado isso, eles não deram orientações sobre como realmente usá-lo", disse Hansen.

Em um comunicado enviado por e-mail, a Microsoft disse que planejava publicar um post sobre o anti-clickjacking. em algum momento desta semana e que havia trabalhado com todos os principais fornecedores de navegadores "para obter feedback e comentários sobre nossa implementação da tag clickjacking antes de distribuir o Internet Explorer 8 RC1".

Essa postagem pode ser útil. Como as coisas estão agora, parece que "o recurso não permite que o usuário se proteja", disse Jeremiah Grossman, diretor de tecnologia da White Hat Security.

Hansen disse que os desenvolvedores da Microsoft propuseram pela primeira vez a correção do clickjacking do IE8 alguns meses atrás, quando ele descreveu o problema pela primeira vez. "Eu descartei isso como não sendo uma solução viável de longo prazo para o clickjacking", disse ele.