Clickjacking Demo
Microsoft a publié cette technologie dans le cadre d'une première version de test -generation Internet Explorer 8 navigateur, en disant que la société avait développé une protection «prêt pour le consommateur» pour une attaque connue sous le nom de clickjacking. Dans le détournement de clics, les attaquants utilisent une programmation Web spéciale pour inciter les victimes à cliquer sur des boutons Web sans s'en rendre compte. L'attaque est difficile à réaliser, mais au pire, le détournement de clics peut être très désagréable, comme exécuter des transactions boursières sur des sites Web financiers, modifier des configurations de routeur ou de pare-feu, ou même forcer quelqu'un à télécharger un logiciel indésirable. Le problème est tellement grand que les experts en sécurité craignent que l'approche de Microsoft, qui fonctionne uniquement lorsque les développeurs de sites Web ajoutent des balises spéciales à leurs pages pour empêcher l'utilisation abusive de leurs propres boutons Web, finisse par donner aux utilisateurs d'IE un faux sentiment de sécurité. [Plus d'informations: Comment supprimer les malwares de votre PC Windows]
"Ce n'est pas une solution au clickjacking, c'est un facteur atténuant vaguement pour les rares personnes qui utilisent IE8", a déclaré Robert Hansen, PDG de la consultation SecTheory, et l'une des personnes qui a signalé le problème à Microsoft. "Mais il est intéressant qu'ils le prennent au sérieux."
Alors que certains sites Web utiliseront certainement la technologie de Microsoft pour empêcher leurs visiteurs IE d'être touchés par le détournement de clic, il y a trop d'autres domaines où le code HTML Les pirates informatiques mis à jour pourraient lancer des attaques - ciblant des interfaces d'administration de routeur ou des applications d'entreprise, ou allant à la rencontre de sites Web qui n'ont pas réussi à implémenter le correctif de Microsoft. "C'est une solution qui, même si tout le monde décide que c'est la bonne façon de faire les choses, il faudra encore des années et des années d'éducation", a déclaré Hansen.
Pire, certains utilisateurs pourraient penser à tort qu'ils sont protégés attaquent simplement parce qu'ils utilisent IE, selon Giorgio Maone, le développeur du plugin Firefox NoScript, qui est généralement considéré comme la meilleure protection contre de nombreuses attaques sur le Web, y compris le détournement de clics. "La mauvaise nouvelle pour les passionnés d'IE est qu'ils n'ont pas de protection magique" prête à l'emploi ", écrit-il sur son blog mardi. "Certes, il ne nécessite aucun" add-on "de navigateur … mais il est encore plus strict: tous les sites à protéger doivent déjà avoir adopté un nouveau hack propriétaire, c'est-à-dire qu'aucun utilisateur ne peut vérifier, »NoScript permet aux utilisateurs de bloquer de manière sélective l'utilisation de langages de script dans le navigateur Firefox. Parce que le clickjacking nécessite des scripts, l'attaque ne fonctionne pas lorsque NoScript est activé.
Pendant des mois, le plug-in de Maone a été la technologie la plus connue pour contrer le détournement de clics. Avec le code de test IE 8, cependant, Microsoft a finalement sa propre alternative.
Pour aider la situation, Maone développe une fonction de compatibilité afin que les utilisateurs de NoScript puissent profiter du même code Web utilisé par IE, et il fait maintenant du lobbying pour que cette fonctionnalité soit incluse dans une prochaine version de Firefox.
Hansen et Maone ont également critiqué Microsoft pour avoir ignoré les détails techniques de la technologie. "Même s'ils ont mis en œuvre cela, ils n'ont pas donné de conseils sur la façon de l'utiliser", a déclaré Hansen.
Dans un communiqué envoyé par e-mail, Microsoft a déclaré qu'il prévoyait de publier un blog sur l'anti-détournement. Cette semaine, nous avons travaillé avec tous les principaux fournisseurs de navigateurs afin d'obtenir des commentaires et des commentaires sur la mise en œuvre de la balise clickjacking avant d'expédier Internet Explorer 8 RC1. "
Cet article pourrait vous être utile. Dans l'état actuel des choses, il semble que «la fonctionnalité ne permet pas à l'utilisateur de se protéger», a déclaré Jeremiah Grossman, directeur de la technologie chez White Hat Security.
Hansen a déclaré que les développeurs de Microsoft ont d'abord proposé leur correctif IE8 clickjacking il ya plusieurs mois quand il leur a décrit le problème pour la première fois. "Je l'ai rejeté comme une solution viable à long terme au détournement de clics", at-il dit.
Les E-Health Records ne suffisent pas, disent les experts
Les médecins disent que de meilleurs DSE et une meilleure interopérabilité sont nécessaires
Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.
Les chercheurs ont trouvé un moyen de focaliser un faisceau de lumière Rajesh Menon, ingénieur de recherche au département de génie électrique et d'informatique du MIT, a déclaré que les fabricants de puces dépendent de la lumière pour tracer des schémas de circuits sur les puces, mais la plupart des les techniques utilisées aujourd'hui ne peuvent pas produire de motifs plus petits que la longueur d'onde de la lumière elle-même.
L'interface Windows 8: comment les experts en interface et en ergonomie évaluent-ils tous les changements? a été critiqué pour ne pas être intuitif et difficile à naviguer. Est-ce que les barbes sont légitimes, ou est-ce que les utilisateurs de Windows de longue date détestent tout changement? Nous avons demandé des réponses à des experts en matière de convivialité.
Lorsque Windows 8 sera lancé le 26 octobre, les utilisateurs seront confrontés aux changements les plus radicaux de l'apparence de Windows depuis près de 20 ans. Le bureau traditionnel a été relégué à un statut de seconde classe, caché sous le nouvel écran de démarrage tactile de Windows 8. Et ce n'est que la première surprise déroutante qui attend les utilisateurs de Windows depuis longtemps.