8
Ich bekam sehr besorgt, this genius post by Aza Raskin zu lesen.Wie gegen TabNabbing zu verteidigen?
Was sind die Nicht-Browser-Lösungen zum Schutz vor TabNabbing? Sind da irgendwelche?
A
Antwort
2
„Tabnabbing“ ist nicht ein neuer Angriff, Herr Raskin ist Abreißen andere Forscher arbeiten. PDP von GnuCitizen entdeckte diese back in 2008.
Die größte Bedrohung, wie ich es sehe, ist Phishing. Um ehrlich zu sein, glaube ich nicht, dass es eine gute Lösung gibt, Phishing zu stoppen. Diese speziellen Probleme sollten meines Erachtens vom Browser behoben werden. Irgendwann werden Firefox und Chrome es reparieren. Um ehrlich zu sein SSLStrip ist eine größere Bedrohung, die alle Browser konfrontiert sind, die neben dieser Umleitung Angriff verwendet werden können. Zurzeit hat Chrome einen Fix in Form von STS und Firefox in Form von HTTPs Everywhere. Durch die Verwendung von noscript wird dieser Umleitungsangriffsangriff ebenfalls verringert.
+1
Für jeden, der tatsächlich wissen möchte, was STS ist, siehe hier: http: //en.wikipedia.org/wiki/Strict_Transport_Security Es ist erwähnenswert, dass STS diesen Angriff nicht stoppt, es sei denn, der 'max-age'-Teil des STS-Headers ist auf einen sehr hohen Wert eingestellt, es wäre besser, wenn er einen unendlichen Wert hätte Ich möchte niemals innerhalb meiner Lebenszeit auf meine Bank ohne TLS zugreifen. Darüber hinaus sollte der Browser den STS-Cache in einem dauerhaften Speicher (dh der Festplatte) halten, aber die STS-Spezifikation schreibt dies nicht vor, hoffentlich verwenden alle Browser-Hersteller gesunden Menschenverstand und tun dies. –
+0
@ Longpoke M ist besser als nichts (IE, Safari, Opera haben keinen Schutz). Obwohl ich denke, dass https überall ist ein besserer Ansatz. – rook
+0
natürlich ist es besser als nichts, wenn es richtig verwendet wird, sollte es obligatorisch sein, vielleicht könnten Browser auch mit einem STS-Cache ausgeliefert werden, um Angriffe beim Bootstrap zu verhindern. ich sehe auch nicht, wie Raskin irgendjemanden abreißt, wie "Tabnabbing", wie die meisten Phishing-Attacken reinen gesunden Menschenverstand sind. –
0
Wie er es vorschlägt, verwenden Sie den Passwort-Manager. Es gibt einige andere Probleme, die auftreten können, wenn Sie Ihr Kennwort jedes Mal eingeben. Für Websites, die der Passwort-Manager nicht funktioniert, sind Sie geschraubt. Client-Zertifikate ftw.
+0
In meinem Land verwenden die meisten Online-Banken eine digitale Tastatur, um sich gegen die meisten Keylogger zu schützen. Dies macht es unmöglich, den Passwortmanager zu verwenden. Was meinst du mit Client-Zertifikaten? –
+0
@Alix Axel: X.509-Client-Zertifikate. Was meinst du mit digitaler Tastatur? Ein Passwort in eine Weboberfläche eingeben? Meine Bank lässt mich das auch tun und beschränkt Sie auf ein alphanumerisches 8-stelliges Passwort. Schade für sie. –
+0
Ich meine dies: https://caixadirecta.cgd.pt/CaixaDirecta/loginStart.do und das: https://www.mbnet.pt/servlet/pvtn?TRN=NH45701F00. Ersteres ist unsere Nationalbank (etwa 5 Millionen Kunden), glücklicherweise benötigen sie einen Matrix-Code (https://caixadirecta.cgd.pt/StaticFiles/images/Caixa%20Directa%20Online/CartaoCEB.jpg), um Operationen durchzuführen, also zu stehlen Der Benutzer/Pass würde nur Lesezugriff erhalten. Letzteres ist kritischer: Es ist mit dem nationalen ATM-Netzwerk verbunden und erzeugt virtuelle Kreditkarten, wobei nur der Benutzername und das Passwort erforderlich sind (nur das Passwort unterliegt der virtuellen Tastatur). –
1
Eine Sache, die das verhindern wird, ist two factor authentication mit etwas wie ein RSA-Token (leider bietet nur eine Bank in diesem Land diese Methode).
Der RSA-Token ist ein kleines USB-Stick-Gadget mit einer sich fortlaufend ändernden Serien-/Folgenummer und wird Ihnen ausgestellt (jeder Stick hat eine andere Ziffernfolge). Wenn Sie sich auf der Website Ihrer Bank anmelden, müssen Sie log/pass angeben, und auch die aktuelle Nummer auf dem RSA-Token - diese Nummer ändert sich alle zwei Minuten. Das bedeutet, dass, wenn die bösen Jungs Ihre Login-Daten sammeln, sie weniger als zwei Minuten haben, um sich in Ihrem Account anzumelden, bevor sich die aktuelle RSA-Sequenznummer ändert und die erfassten Login-Daten unmöglich wieder zu verwenden sind.
Diese 2-Faktor-Authentifizierung ist nicht die Königsdisziplin, aber ich sehe nicht, dass Google dies für Ihr zufälliges Google Mail-Konto aufruft, und Facebook wird es auch nicht. Es sollte für Finanzinstitute und Online-Regierungsabteilungen verpflichtend sein, dies wird den Umfang dieser Art von Angriffen einschränken. Es ist ein häufig verwendeter Schutzmechanismus für den Fernzugriff auf Firmen-Website-Portale und Remotenetzwerk-Logins, und dies ist ziemlich erfolgreich.
Das hat Ihre Frage aber immer noch nicht beantwortet - wie können Sie als Webseitenautor oder -besitzer dies verhindern? Sie können das nicht, es sei denn, Sie führen keine Drittanbieter-Skripts aus und überprüfen regelmäßig Ihre Seiten, um sicherzustellen, dass Sie nicht kompromittiert wurden und ein Skript eingefügt wurde. Sie sollten niemals in Betracht ziehen, Scripts von Drittanbietern zu scannen, da diese zu einem unglaublichen Grad verschleiert werden können, nach dem Sie nicht suchen können. Wenn Sie Skripte von Drittanbietern ausführen und sich dazu stark genug fühlen, dann sollten Sie vielleicht einen Rechner einrichten, der nur automatisierte UI-Tests auf Ihrer Website durchführt - es ist einfach, mit einigen grundlegenden Tests und einfach einzurichten Lassen Sie Ihre Live-Site alle 30 oder 60 Minuten auf unerwartete Ergebnisse prüfen.
+1
Zwei-Faktor-Authentifizierung ist großartig, aber in Bezug auf Ihre Antwort mit 3rd-Party-Skripten ist nur die Hälfte des Problems die Art, wie ich es sehe, was passiert, wenn StackOverflow ersetzt seine Benutzeroberfläche mit einem Gmail Login UI und verschlüsselt die URL, um es wie GMail aussehen ? –
+1
Dies sollte die Norm für wichtige Dinge sein. Glücklicherweise hat Blizzard dies für World of Warcraft implementiert, wichtige Dinge! – mxmissile
+0
2-Faktor-Authentifizierung wird nicht helfen. Eine Angreiferwebsite könnte sich in eine Bankwebsite verwandeln und dann als Proxy agieren. Der Benutzer wird das Sicherheitstoken + Benutzername/Passwort eingeben und wird wiederum zu seinen Kontodaten gelangen. Die Angreifer-Website hat dabei vollständigen Zugriff auf die Benutzersitzung. Dies kann sogar Dinge wie Captcha oder personalisierte Nachrichten umgehen. –
0
Ich habe gerade die von Ihnen erwähnte Seite besucht und mein kostenloser Virenprüfer (AVG) hat sofort eine Bedrohung entdeckt (ich vermute, dass er ein Beispiel auf der Seite hat) und mich vor einem Tabnapping Exploit gewarnt.
Also das ist eine, einfache, Möglichkeit
+1
Nein, abhängig von Antivirus für alles ist albern. AVG hat diese Adresse wahrscheinlich nur fest programmiert, da sie so beliebt ist, dass sie aussieht, als ob sie einen magischen gefälschten Seitendetektor hätten, also installieren mehr Leute AVG. Jedenfalls fällt es mir schwer zu glauben, dass sie etwas so Dummes getan haben. –
+0
er hat das Skript läuft auf seiner Seite, nach dem Lesen des Artikels Ich verließ meinen Browser geöffnet, nach der Rückkehr zu meinem PC, der Titel sagte Google Mail usw., aber der Bildschirm leer war – mxmissile
+0
@mxmissile: Humm .. Seltsam. Es zeigt mir ein Bild von Google Mail. –
Meinst du was können Web-Entwickler tun, oder was können Benutzer tun? –
@Michael: Entwickler. –
Schön !! Das ist schwierig für jeden, der es definitiv verhindern kann. – slugster