Clickjacking IE8 Memperbaiki Bantuan Tidak Banyak, Para Ahli Katakan

Teknologi Microsoft baru yang dirancang untuk melindungi pengguna Internet Explorer dari serangan berbasis Web baru yang kuat tidak akan memperbaiki masalah, kata pakar keamanan hari Selasa.

Microsoft merilis teknologi tersebut sebagai bagian dari versi "rilis kandidat" awal dari versi berikutnya. Peramban Internet Explorer 8, mengatakan bahwa perusahaan telah mengembangkan perlindungan "siap-konsumen" untuk serangan yang dikenal sebagai clickjacking. Dalam clickjacking, penyerang menggunakan program Web khusus untuk mengelabui korban agar mengklik tombol Web tanpa menyadarinya. Serangan ini sulit untuk dilakukan, tetapi pada yang terburuk, clickjacking dapat melakukan beberapa hal yang sangat buruk, seperti mengeksekusi perdagangan saham di situs Web keuangan, mengubah konfigurasi router atau firewall, atau bahkan memaksa seseorang untuk mengunduh perangkat lunak yang tidak diinginkan.

Masalahnya sangat luas sehingga para ahli keamanan khawatir bahwa pendekatan Microsoft, yang bekerja hanya ketika pengembang situs Web menambahkan tag khusus ke halaman mereka yang mencegah tombol Web mereka sendiri disalahgunakan, mungkin akhirnya memberi pengguna IE rasa aman yang salah.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

"Ini bukan solusi untuk mengklik pembajakan oleh imajinasi manapun. Ini adalah faktor yang mereduksi secara samar-samar untuk sangat sedikit orang yang menggunakan IE8," kata Robert Hansen, CEO dari konsultan SecTheory, dan salah satu orang yang pertama kali melaporkan masalah ini ke Microsoft. "Tapi menarik bahwa mereka menganggapnya serius."

Sementara beberapa situs web pasti akan menggunakan teknologi Microsoft untuk mencegah pengunjung IE mereka terkena klik clickjacking, ada terlalu banyak area lain di mana kode HTML tidak mungkin pembaruan dan peretas dapat meluncurkan serangan - menargetkan antarmuka administratif router atau aplikasi perusahaan, atau pergi setelah situs Web yang belum berhasil menerapkan perbaikan Microsoft. "Ini adalah solusi yang, bahkan jika semua orang memutuskan bahwa ini adalah cara yang benar untuk melakukan sesuatu, itu masih akan membutuhkan bertahun-tahun dan bertahun-tahun pendidikan," kata Hansen. Parahnya, beberapa pengguna mungkin keliru berpikir mereka dilindungi dari serang hanya karena mereka menggunakan IE, menurut Giorgio Maone, pengembang plugin Firefox NoScript, yang secara umum dianggap sebagai perlindungan terbaik dari banyak serangan berbasis Web, termasuk klikjacking. "Kabar buruk bagi penggemar IE adalah bahwa mereka tidak mendapat perlindungan 'di luar kotak'," tulisnya di blognya, Selasa. "Benar, itu tidak memerlukan 'add-on browser' … tapi itu datang dengan persyaratan yang lebih ketat: semua situs yang harus dilindungi pasti sudah mengadopsi peretasan hak milik baru, yaitu sesuatu yang tidak dapat diverifikasi oleh pengguna akhir, apalagi menegakkan. "

NoScript memungkinkan pengguna secara selektif memblokir penggunaan bahasa scripting dalam browser Firefox. Karena clickjacking membutuhkan scripting, serangan itu tidak berfungsi ketika NoScript diaktifkan.

Selama berbulan-bulan, plug-in Maone telah menjadi teknologi paling terkenal untuk menggagalkan clickjacking. Dengan kode uji IE 8, bagaimanapun, Microsoft akhirnya memiliki alternatif sendiri.

Untuk membantu situasi, Maone mengembangkan fitur kompatibilitas sehingga pengguna NoScript akan dapat mengambil keuntungan dari kode Web yang sama yang digunakan oleh IE, dan dia sekarang sedang melobi untuk memiliki fitur ini termasuk dalam versi Firefox yang akan datang.

Hansen dan Maone juga mengkritik Microsoft karena menunda rincian teknis teknologi. "Meskipun mereka menerapkan itu, mereka belum memberikan panduan tentang bagaimana benar-benar menggunakannya," kata Hansen.

Dalam sebuah pernyataan e-mail, Microsoft mengatakan bahwa pihaknya berencana untuk memasang posting blog di anti-clickjacking fitur minggu ini dan itu telah bekerja dengan semua vendor browser utama "untuk mendapatkan umpan balik dan masukan pada penerapan kami dari tag clickjacking sebelum pengiriman Internet Explorer 8 RC1."

Posting itu mungkin bisa membantu. Seperti keadaan sekarang, sepertinya "fitur tidak memungkinkan pengguna untuk melindungi diri mereka sendiri," kata Jeremiah Grossman, chief technology officer dengan White Hat Security.

Hansen mengatakan bahwa pengembang Microsoft pertama kali mengusulkan perbaikan clickjacking IE8 mereka beberapa bulan yang lalu ketika dia pertama kali menjelaskan masalah itu kepada mereka. "Saya menganggapnya bukan solusi jangka panjang yang layak untuk diklik," katanya.