image

"Clickjacking-lek in browsers pas in 2017 opgelost"

vrijdag 5 juni 2009, 09:27 door Redactie, 4 reacties

Vorig jaar september sloegen twee beveiligingsexperts alarm over een ernstig lek in bijna alle browsers dat lastig te patchen is. Bijna een jaar verder is er echter weinig aan de situatie veranderd, wat één van de onderzoekers doet vermoeden dat er pas in 2017 serieus naar het probleem gekeken wordt. Jeremiah Grossman baseert zich op inmiddels veel gebruikte aanvalstechnieken en hoelang het duurde voordat die serieus werden genomen. "Het duurt ongeveer 6 tot 9 jaar voordat de aanvallers hun aanvallen zo weten te schalen dat ze voldoende schade doen dat de verdedigende partij wel moet reageren." Zo verscheen in 1996 al het artikel “Smashing The Stack For Fun And Profit”, terwijl Microsoft's Bill Gates pas in 2002 de “TrustWorthy Computing Memo” verstuurde.

Cross-site scripting, een andere populaire aanvalstechniek, dook voor het eerst in 1997 op, maar pas in 2005 werd de echte impact duidelijk. In 1998 verscheen het eerste onderzoek naar SQL-injectie, wat sinds twee jaar op grote schaal door criminelen wordt toegepast voor het hacken van websites. Clickjacking is bij een aantal onderzoekers al een paar jaar bekend, maar pas vorig jaar kwam de grote doorbraak.

Onlangs vond er een niet-kwaadaardige Clickjacking aanval op Twitter plaats om het effect van de techniek te demonstreren. "Als we naar de geschiedenis kijken doen de problemen zich mogelijk pas tussen 2014 en 2017 voor. We hebben dus de tijd om het probleem op te lossen, maar ik vraag me af of we tegen die tijd beter voorbereid zijn." Grossman verwacht dat het probleem alleen maar groter zal worden.

Reacties (4)
05-06-2009, 11:27 door [Account Verwijderd]
[Verwijderd]
05-06-2009, 14:27 door Dr.Wh4x
Door Duckman: Al die beveiliging experts die konstand roepen dat je constant achter de feiten aan blijft lopen omdat hackers altijd weer wat nieuws verzinnen zijn dus gewoon lui. Aanvallen kunnen in een vroeg stadium gevonden en aan gepakt worden.
Wat ze nu doen is de duiken pas verhogen als het water er al overheen loopt ipv alvast verhogen als ze weten dat het er anders over een paar jaar overheen loopt.
Gevaar wat je niet ziet is er niet.

konstand = constant * ;<
Duiken = Dijken
05-06-2009, 19:10 door cyberpunk
Ik meen dat in NoScript toch een en ander is aangepast ivm Clickjacking. 100% "veilig" zal het wel niet zijn, maar IMHO toch beter dan niets.

@ Dr.Wh4x

[url=http://www.faqs.org/rfcs/rfc1855.html]http://www.faqs.org/rfcs/rfc1855.html[/url]

Messages and articles should be brief and to the point. Don't wander off-topic, don't ramble and don't send mail or post messages solely to point out other people's errors in typing or spelling. These, more than any other behavior, mark you as an immature beginner.
07-06-2009, 17:36 door H.King
Messages and articles should be brief and to the point. Don't wander off-topic, don't ramble and don't send mail or post messages solely to point out other people's errors in typing or spelling. These, more than any other behavior, mark you as an immature beginner.


Prachtig, heb ik ook al tevaak gezegd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.