Aza Raskin によるこの天才的な投稿を読んで、私は非常に心配になりました。
TabNabbing から防御するためのブラウザ以外のソリューションは何ですか? いずれかがあります?
2053 次
4 に答える
2
「Tab Nabbing」は新しい攻撃ではなく、Raskin 氏は他の研究者の仕事を盗用しています。GnuCitizen の PDPは 2008 年にこれを発見しました。
私が考える最大の脅威はフィッシングです。正直なところ、フィッシングを止める良い解決策はないと思います。この特定の問題は、ブラウザで修正する必要があると思います。最終的には Firefox と Chrome で修正される予定です。正直なところ、 SSLStripはすべてのブラウザーが直面するより大きな脅威であり、このリダイレクト攻撃と併用できます。現在、chrome はSTSの形で、Firefox はHTTPS Everywhereの形で修正されています。noscript を使用すると、このリダイレクト攻撃攻撃を軽減するのにも役立ちます。
于 2010-06-20T20:31:36.757 に答える
1
このようなことが起こらないようにする 1 つの方法は、RSA トークンなどを使用した2 要素認証です (残念ながら、この方法を提供している銀行はこの国で 1 つだけです)。
RSA トークンは、継続的に変化するシリアル/シーケンス番号を持つ小さな USB スティック サイズのガジェットであり、発行されます (各スティックには異なる番号のシーケンスがあります)。銀行の Web サイトにログオンするときは、ログ/パスと、RSA トークンの現在の番号を提供する必要があります。この番号は 2 分ごとに変わります。つまり、悪意のある人物がログインの詳細を収集した場合、現在の RSA シーケンス番号が変更され、取得されたログインの詳細が再利用できなくなるまで、2 分もかからずにアカウントにログインできます。
ただし、この 2 要素認証は特効薬ではありません。Google があなたのランダムな Gmail アカウントにこれを展開するとは思いませんし、Facebook も同様です。金融機関やオンラインの政府機関はこれを必須にする必要があります。これにより、この種の攻撃の範囲が縮小されます。これは、企業の Web サイト ポータルへのリモート アクセスとリモート ネットワークへのログインに一般的に使用される保護メカニズムであり、これには非常に効果的です。
しかし、これはまだあなたの質問に答えていません。ウェブサイトの作成者または所有者として、これをどのように防ぐことができますか? サードパーティのスクリプトを実行せず、ページを定期的にチェックして、侵害されていないか、スクリプトが挿入されていないことを確認しない限り、それはできません。サード パーティのスクリプトをスキャンしようと考えるべきではありません。サードパーティのスクリプトを実行し、これについて十分に強く感じている場合は、Web サイトで自動化された UI テストだけを行うマシンをセットアップすることをお勧めします。いくつかの基本的なテストと30 分または 60 分ごとにライブ サイトをテストして、予期しない結果を探します。
于 2010-06-20T01:01:20.290 に答える
0
彼が示唆するように、パスワードマネージャーを使用してください。毎回パスワードを入力すると、他にも多くの問題が発生する可能性があります。パスワードマネージャーが機能しないサイトの場合、あなたはうんざりしています. クライアント証明書
于 2010-06-19T23:47:30.170 に答える
0
あなたが言及したページにアクセスしたところ、無料のウイルス チェッカー (AVG) がすぐに脅威を検出し (そのページに例があると思います)、Tabnapping Exploit について警告しました。
それは 1 つの簡単な可能性です
于 2010-06-20T01:10:04.060 に答える