Аза Раскин (Aza Raskin (http://en.wikipedia.org/wiki/Aza_Raskin)), один из разработчиков Mozilla Firefox, рассказал (http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/) о новом типе атак против всех браузеров, которую он назвал "tabnapping" (буквально - забыл про вкладку).
Суть атаки заключается в том, что когда пользователь отвлекшись от просмотра текущей веб-страницы осуществляет переход на другую (это событие нетрудно зафиксировать с помощью JavaScript), предыдущий веб-сайт подменяет в своей вкладке иконку, заголовок и содержимое на контент, напоминающий какой-нибудь популярный сайт, требующий ввода данных пользователя (пароля, имени, номера кредитной карты и т.д.). Со стороны пользователя это выглядит как то, что при возврате на старую вкладку или страницу, он видит, что перед ним используемый сайт, который требует авторизации (например, из-за разрыва сессии, как это часто делает Gmail), и,
не обращая внимания
на URL страницы, пользователь без боязни вводит туда ...URL: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
Новость: http://www.opennet.me/opennews/art.shtml?num=26726
Ну, все блокировать - это жестоко уже нынче, а вот разрешать фоновые скрипты только сайтам из белого списка было бы интересно. Заодно и нагрузка на процессор в разы уменьшилась бы.
NoScript вам в руки?! Вещь. И проц разгружает, и флешатину и нежелательную активность пристреливает.
И как ты отличишь "фоновый" скрипт от "нефонового"? А главное, что это?
Не знаю как это работает в торМозилле, а в Опере я тоже отключил JS и все плагины в главных настройках, а если какому-то сайту оно надо, двумя щелчками мыши включаешь именно для этого сайта. И всё пучком!
c popup-ами то же самое. где надо включаешь, по дефолту везде выключено. ибо нефиг!
запретить менять заголовок окна.
запрет изменения текста строки статуса в мозилле уже давно стоит.
>запретить менять заголовок окна.
>запрет изменения текста строки статуса в мозилле уже давно стоит.Ничего подобного, document.title='..' работал и работает, но для установки заголовка окна даже JavaScript не нужен, тег TITLE вполне справиться. Ссылку в строке статуса все поисковики до сих пор меняют, всегда плююсь, копируешь одно а получаешь другое.
В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже пора встроить в браузер, а лучше во все браузеры.
>В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже
>пора встроить в браузер, а лучше во все браузеры.В правильных браузерах аналогичная функциональность встроена.
>>В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже
>>пора встроить в браузер, а лучше во все браузеры.
>
>В правильных браузерах аналогичная функциональность встроена.Правильных = созданных во времена оные и под задачи тех времен (показывать текст на некрасивых страницах)? Или имеется в виду галочка "исполнять JavaScript" в настройках?
Сегодня такой "правильностью" мало кто будет пользоваться добровольно. Тем более что многие сайты без js нынче не особо функциональны либо просто неудобны (тот же gmail).
Правильный браузер не может быть закрытым.
Лучше бы расширили базовые функции ограничения джаваскриптов,
носкрипт превращает серфинг в мазохизм.
А вообще, это проблема любителей держать по 50-100 табов,
открываешь в пределах 10 табов и всегда знаешь, что там есть реально.
Yesscript Вам в руки. ;)
Не, это все геморой, вести черно-белые списки.
Имею в виду, например, наглухо запретить джаваскриптам открывать дополнительные странички,
несмотря на то что давятся попапы, все равно джаваскриптами открываются страницы с рекламой и т.п., да взять тот же сайт РБК.
Сотню, к несчастью, FF не выдерживает.
У меня более сотни выдерживает
У меня сотню мозг не выдерживает(
У меня выдерживает, но тормозит, да.
> У меня выдерживает, но тормозит, да.Кто тормозит? Мозг или браузер?
>> У меня выдерживает, но тормозит, да.
>
>Кто тормозит? Мозг или браузер?Посмотрите сообщение на которое я отвечал. Там нет ни слова о мозге.
title же меняется самой страницей. А js делается просто редирект.
Тут необходим "правильный подход"А вообще можно редиректы запретить, изменени титлов и фавиконов (они важнее).
Согласен с анонимом 20 табов можно в голове держать ;)
Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScript
Живительной эвтаназией
>Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого
>способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScriptА причем тут windows?
Тырят-то пароли.
Такую атаку и для пользователей openbsd можно сварганить.
Кому то это и во вред, а кому то на пользу....
ForbiddenYou don't have permission to access /blog/post/a-new-type-of-phishing-attack/ on this server
это только у меня ? :)
Это на тебя "tabnapping" атаку натравили, а ты и не понял.