Blok Ekstensi Firefox Serangan Web Berbahaya

Bebas populer alat keamanan untuk peramban Firefox telah ditingkatkan untuk memblokir salah satu masalah keamanan yang paling berbahaya dan mengganggu yang dihadapi Web saat ini.

NoScript adalah aplikasi kecil yang terintegrasi ke dalam Firefox. Ini memblokir skrip dalam bahasa pemrograman seperti JavaScript dan Java dari mengeksekusi pada halaman Web yang tidak dipercaya. Skrip dapat digunakan untuk meluncurkan serangan pada PC.

Rilis terbaru dari NoScript, versi 1.8.2.1, akan menghentikan apa yang disebut "clickjacking," di mana seseorang yang menjelajah Web mengklik tautan berbahaya dan tak terlihat tanpa menyadarinya, kata Giorgio Maone, peneliti keamanan Italia yang menulis dan memelihara program.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Clickjacking telah dikenal selama beberapa tahun tetapi menarik perhatian lagi setelah dua peneliti keamanan, Robert Hansen dan Jeremiah Grossman, memperingatkan bulan lalu skenario baru yang dapat membahayakan privasi seseorang atau bahkan lebih buruk, mencuri uang dari rekening bank.

Sayangnya, clickjacking dimungkinkan karena fitur desain mendasar dalam HTML yang memungkinkan situs Web untuk menanamkan konten dari halaman Web lain, kata Maone. Hampir semua browser Web rentan terhadap serangan clickjacking.

"Ini adalah hal yang sangat sulit untuk diperbaiki karena itu bagian dari kain Web dan browser," kata Maone.

Konten yang disematkan dapat tidak terlihat tetapi seseorang masih bisa tanpa sadar berinteraksi dengannya. Serangan clickjacking mengambil keuntungan dari itu dengan menipu pengguna untuk mengklik pada tombol yang muncul untuk melakukan beberapa fungsi tetapi sebenarnya melakukan sesuatu yang sama sekali berbeda.

Clickjacking juga dapat dicapai dengan memanipulasi plug-in aplikasi lain, seperti Adobe Program Flash dan Silverlight Microsoft. Misalnya, para peneliti dalam beberapa hari terakhir telah menunjukkan bahwa ada kemungkinan serangan clickjacking untuk menyalakan kamera Web dan mikrofon seseorang tanpa sepengetahuan mereka.

Dalam penasehat pada hari Selasa, Adobe mengatakan akan mengeluarkan patch untuk Flash pada akhir bulan.

Peningkatan baru untuk NoScript, yang disebut ClearClick, dapat mendeteksi jika ada elemen tersembunyi yang disematkan di dalam halaman Web. Ini kemudian menampilkan pesan peringatan yang meminta pengguna jika mereka masih ingin mengkliknya.

Maone mengatakan ClearClick kemungkinan akan menghentikan semua upaya klikjacking. NoScript hanya untuk browser Firefox, sehingga pengguna Microsoft Internet Explorer - browser yang paling banyak digunakan di dunia - rentan.

Pemilik situs web, bagaimanapun, dapat mengambil satu langkah untuk mencegah pengguna mereka jatuh korban, Kata Maone. Programmer dapat menggunakan skrip di situs Web mereka yang memeriksa untuk melihat apakah halaman Web tertanam di halaman lain. Jika demikian, script memaksa halaman web yang bagus di depan, mencegah clickjacking, kata Maone.

Teknik ini disebut "framebusting." Layanan pembayaran online Ebay, PayPal, yang sering ditargetkan oleh penjahat dunia maya, telah menerapkan framebusting, kata Maone. NoScript akan memungkinkan skrip framebusting untuk dijalankan, kata Maone.

"Hal terbaik yang bisa terjadi adalah pemilik situs web mulai berpikir lebih hati-hati tentang keamanan," kata Maone. "Sangat penting bahwa pemilik situs web menyebarkan berita bahwa mereka harus menerapkan framebusting."

Clickjacking adalah masalah serius, berpotensi jangka panjang untuk pengembang browser. Karena serangan diaktifkan oleh fitur dalam HTML, itu menuntut perubahan pada spesifikasi HTML.

Kelompok-kelompok standar web saat ini bekerja pada HTML 5, spesifikasi yang akan menggabungkan fitur-fitur baru ke dalam bahasa pemrograman untuk mengakomodasi desain Web masa depan. Tetapi proses standar bergerak lambat, dan perubahan pada HTML dapat merusak halaman Web yang ada, kata Maone.

"Bagi pengguna, saya khawatir tidak ada perbaikan kecuali NoScript untuk sementara waktu," katanya.