Elektronika.lt
 2024 m. lapkričio 13 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 - Elektronika, technika
 - Ryšio technika
 - Programinė įranga
 - Operacinės ir tinklai
 - Kompiuterinė įranga
 - Kitos protingos mintys
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 13 d. 08:50
Technologijos miegamajame – naujausios inovacijos gali padėti pagerinti miego kokybę
Lapkričio 12 d. 20:23
Jau 2025 m. vidutinio ir smulkiojo verslo laukia svarbūs pokyčiai – ar verta baimintis duomenų teikimo į i.EKA? (1)
Lapkričio 12 d. 18:14
Kaip „Mac“ kompiuterio garsą mažinti ar didinti mažesniais žingsneliais
Lapkričio 12 d. 16:42
KTU mokslininkų kūrinys: efektyvesnė reabilitacijos sistema po traumų, sumažinanti jų galimybę ateityje
Lapkričio 12 d. 14:46
Elektrinių paspirtukų paruošimas žiemojimui: ką svarbu žinoti?
Lapkričio 12 d. 12:47
VU ekspertų diskusija: Nobelio premijos laureatų mokslas – kasdienybė Saulėtekyje
Lapkričio 12 d. 10:25
Lietuvoje debiutuos du nauji „Kia“ elektromobiliai
Lapkričio 12 d. 08:18
Dirbtinio intelekto įrankiai mokyklose: kurios šalys šią technologiją panaudoja veiksmingiausiai?
Lapkričio 11 d. 20:32
Kaip namus šildyti ekonomiškiau: padės kelios paprastos taisyklės
Lapkričio 11 d. 17:16
Priklausomybė nuo meilės: kaip pažinčių programėlės „išnaudoja“ vartotojus
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods
Reklama
 Patarimai » Programinė įranga Ankstesnis patarimas | Sekantis patarimas | Dalintis | Spausdinti

Apsisaugome nuo „clickjacking“ atakų

Publikuota: 2009-02-08 11:09
Tematika: Programinė įranga
Autorius: Kęstas Gudinavičius
Inf. šaltinis: Critical Security

Saugumo tyrinėtojų Jeremiah Grossman ir Robert Hansen paskelbta ataka, kurią jie pavadino „clickjacking“, yra viena įdomesnių praėjusių metų atakų prieš web vartotojus. „Adobe“ kompanijai teko tartis su atakos autoriais, kad šie atidėtų savo pranešimo skaitymą konferencijoje „OWASP AppSec NY 2008“, kadangi kompanija ataką įvertino kaip kritinę jos produktų, konkrečiau „Adobe Flash“, atžvilgiu. Nors ataka nėra paplitusi, tačiau jos likvidavimui yra parengta keletą sprendimų, kurios pabandysime apžvelgti.

Pirmiausia apie pačią ataką. Jos esmė yra priversti vartotoją spragtelėti ant užmaskuotų tinklalapio elementų, pavyzdžiui, įdėtinio rėmelio (angl. iframe), kuriame yra užkrautas tarkime mokėjimų sistemos vartotojo paskyros nustatymų puslapis. Vartotojas nė neįtaria, kad žaisdamas įdomų žaidimą tuo pat metu keičia paskyros nustatymus. Saugumo tyrinėtojai taip pat pateikė „Adobe Flash“ saugumo modelio trūkumus išnaudojantį demonstracinį kodą, kurį pasitelkę piktavaliai galėjo perimti aukos internetinės kameros ir mikrofono valdymą. Kaip ši ataka atrodė realybėje galima pažiūrėti pateiktame filmuke:

Egzistuoja keletas apsaugos mechanizmų nuo „clickjacking“ atakų. Pirmasis žinomas kaip „rėmelių žudikas“. Tai „JavaScript“ kodas, kuris neleidžia tinklalapio atvaizduoti rėmelyje. Šis kodas turi būti įterptas į kiekvieną norimą apsaugoti puslapį. Paprasta realizacija, tačiau tai nėra universalus sprendimas, kadangi „Internet Explorer“ naršyklė supranta rėmelio atributą „security“, kurio reikšmė „restricted“ nurodo, kad rėmelyje esantis tinklalapis yra padidinto saugumo zonoje, kurioje JavaScript kodas paprasčiausiai neveiks. Taip pat šis apsaugos mechanizmas bus bejėgis prieš klientus su atjungtu „JavaScript“ palaikymu.

„Rėmelių žudikas“:

<script type="text/javascript">if (top!=self) top.location.href=self.location.href;</script>

„Microsoft“ jau ankščiau skelbė, kad interneto naršyklė „Internet Explorer 8“ turės integruotą apsaugą, gebančią neutralizuoti „clickjacking“ atakas, o prieš keletą dienų IE tinklaraštyje buvo paskelbtos šios technologijos detalės. Norėdami apsaugoti IE8 naudotojus, web programuotojai gali gražinti specialią antraštę X-FRAME-OPTIONS, kuri nurodo kaip konkretus puslapis gali būti įrėmintas. X-FRAME-OPTIONS reikšmė DENY reiškia, kad puslapis negali būti įrėmintas, SAMEORIGIN – puslapis bus atvaizduotas rėmelyje, jeigu sutaps naršymo kontekstas. Kuomet puslapis pažeidžia nustatytą X-FRAME-OPTIONS politiką, IE8 vietoj tinklalapio rodo įspėjantį pranešimą bei pateikia nuorodą, kuri atidaro rėmelio šaltinį naujame lange. Šios technologijos trūkumas yra tas, kad ji kol kas suderinama tik su IE8 , neaišku kaip greitai technologiją adaptuos kitos interneto naršyklės.

Paskutinis apžvelgiamas apsaugos sprendimas yra „Mozilla“ šeimos interneto naršyklėms skirtas nemokamo papildinio „NoScript“ modulis „ClearClick“. Prieš tai du minėti apsaugos nuo „clickjacking“ atakos mechanizmai negali eiliniam vartotojui garantuoti, kad tam tikra interneto svetainė juos tinkamai įsidiegusi. „ClearClick“ modulis automatiškai aptinka ir nukenksmina bei praneša vartotojui apie vykdomą ataką. Naujausia modulio versija turi eksperimentinį X-FRAME-OPTIONS antraštės palaikymą taip pat moka atpažinti ne vien rėmeliais paremtas „clickjacking“ atakas , kas suteikia dar didesnį patikimumą.

Apibendrinant, galima teigti, kad „NoScript“ papildinys yra geriausia šiuo metu egzistuojanti priemonė apsaugai nuo „clickjacking“ atakų, kol interneto svetainių autoriai ir interneto naršyklių kūrėjai neįsisavino naujausių apsaugos technologijų.


Critical Security

Draudžiama platinti, skelbti, kopijuoti informaciją su
nurodyta autoriaus teisių žyma be redakcijos sutikimo.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 
Vardas:    El. paštas:   (nebūtinas)
Pakartokite kodą: 
  Apsaugos kodas: 
 
Komentarus rašo lankytojai. Komentarai nėra redaguojami ar patikrinami, jų turinys neatspindi redakcijos nuomonės. Redakcija pasilieka teisę pašalinti pasisakymus, kurie pažeidžia įstatymus, reklamuoja, yra nekultūringi arba nesusiję su tema. Pastebėjus nusižengimus, prašome mums pranešti. Jei nurodomas el. pašto adresas, jis matomas viešai. Patvirtindami komentaro įrašymą, kartu patvirtinate, jog esate susipažinęs su portalo privatumo politika ir su ja sutinkate.
Rizikos zona ar galimybės verslui? Kokios grėsmės tyko naudojančių dirbtinį intelektą

Dirbtinis intelektas šiandien – jau neatsiejama kasdienybės dalis ne tik kiekvieno iš mūsų gyvenimuose, bet ir versle. Bet ar kada susimąstėte, kokią kainą mainais už šią pagalbą mokame? O kiek saugūs išlieka mūsų duomenys, kuriuos lengva ranka atiduodame DI įrankiams?

„TikTok“ privatumo nustatymai, kuriuos turite pasikeisti dabar

Siekdama tobulinti savo paslaugas, trumpų vaizdo įrašų platforma taip pat gausiai renka vartotojų asmeninius duomenis. Tačiau ne visi žino, kur ir kaip ši informacija yra naudojama. Ką galite padaryti, kad išsaugotumėte savo privatumą?

Susidūrėte su sukčiais ir praradote savo „Gmail“ paskyrą?

Internautai dažnai susiduria su įvairiausiais sukčiais, o tarp populiarių užklausų rasime ir klausimą, susijusį su įsilaužimu į „Gmail“ elektroninio pašto paskyras ir kaip ją susigrąžinti.

2024-09-30 08:37
Keli mažiau žinomi „iOS“ „Mail“ patogumai
2024-09-25 17:03
Kaip pačiam susikurti internetinę svetainę su „WordPress“: išsamus vadovas
2024-09-23 11:49
Ekspertai pataria: taupyti projektuojant – neapsimoka, nes klaidos kainuoja per brangiai
2024-09-18 14:23
Sulaukiate gausybės erzinančių „WhatsApp“ skambučių? Paprastas triukas, kuris garantuos jums ramybę
2024-09-16 08:11
7 „Facebook“ funkcijos, kurias žino tik patys gudriausi vartotojai
2024-09-11 14:45
5 geriausi būdai „supakuoti“ prisiminimus
2024-09-03 18:36
„Snapchat“ – vaikų mėgstamas socialinis tinklas. Ar jis saugus?
2024-07-17 11:35
Kaip teisingai formuoti užklausą „ChatGPT“, kad gautumėte naudingą atsakymą?
2024-06-25 16:29
Jei nespėjote atsidaryti „Shazam“, paniūniuokite patys: nauja funkcija padės lengviau atrasti patinkančią dainą
2024-05-28 14:12
Kaip įjungti „Lossless“ garso formatą „Music“ aplikacijoje „Apple TV“
2024-05-17 11:09
Neseniai kalbėjote su rusakalbiais „Google“ atstovais? Pasitikrinkite, ar neatidavėte savo duomenų sukčiams
2024-05-09 08:38
Naujausias sukčių įrankis – „FraudGPT“: kaip apsisaugoti
Daugiau...Paieška archyve

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama