Ochrana proti clickjackingu v MSIE 8 je údajně k ničemu

V právě uvedené verzi prohlížeče Internet Explorer 8 nabízí Microsoft novou bezpečnostní funkci – ochranu proti relativně novému typu útoků zvanému clickjacking.


Eric Lawrence, Microsoft program manager, před několika dny představil novou technologii ochrany, kterou nabízí nedávno uvolněný Internet Explorer 8 Release Candidate 1. Jejím základem je, že server či webová aplikace mohou prohlížeči zasílat v hlavičce HTTP hodnoty tzv. X-Frame-Options. Tato možnost přitom určuje, jaký obsah (tj. hlavně obsah z jakého zdroje) může být do příslušné stránky vložen pomocí tagu Iframe.


Robert Hansen, CEO společnosti SecTheory, a výzkumníci, kteří loni na tento typ útoku jako první upozornili, však tvrdí, že technologie Microsoftu je de facto téměř k ničemu. Hansen ji přirovnal k příznaku HTTPonly, který má sloužit k ochraně cookies před škodlivými skripty. Tuto technologii Microsoft prosazuje už několik let, po celou dobu ji však nepodporoval žádný jiný prohlížeč než Internet Explorer a používá ji jen naprosto zanedbatelné množství webových serverů. Technologii X-Frame-Options potká podle Hansena stejný osud.

Hlavní problém je, že uživatelé takto budou chráněni pouze v případě, že technologii aktivně nasadí i provozovatelé serverů. Hansen tvrdí, že Microsoft tuto funkci uvedl hlavně proto, aby nějakou ochranu proti clickjackingu mohl deklarovat. Možná to svědčí i tom, že vývojáři Internet Exploreru celý problém ani nepokládají za příliš závažný. Hansen s nimi ovšem v tomto případě do jisté míry souhlasí. Ačkoliv právě on byl jedním z lidí, kteří na problém upozornili, připouští, že veškeré demonstrace útoku byly typu proof-of-concept a zatím se neprokázalo, že by útočníci mohli v praxi tuto metodu použít opravdu efektivně.


Zdroj: Computerworld.com

 











Komentáře