Как защититься от TabNabbing?

Question

Меня очень беспокоит чтение этого гениального поста Азы Раскина .

Какие не браузерные решения защищают от TabNabbing?Есть ли?

Answer 1

«Tab Nabbing» - не новая атака, мистер Раскин срывает работу других исследователей. PDP из GnuCitizen обнаружил это в 2008 .

Самая большая угроза, как я вижу, это фишинг. Честно говоря, я не думаю, что есть хорошее решение, чтобы остановить фишинг. Эта конкретная проблема, я думаю, должна быть исправлена ​​браузером. В конце концов Firefox и Chrome смогут исправить это. Честно говоря, SSLStrip - это большая угроза, с которой сталкиваются все браузеры, и которую можно использовать вместе с атакой перенаправления. В настоящее время в chrome есть исправление в виде STS и Firefox в виде HTTPs Everywhere . Использование noscript также поможет смягчить эту атаку перенаправления атаки.

Answer 2

Одна вещь, которая предотвратит подобные вещи, - это двухфакторная аутентификация с использованием чего-то вроде токена RSA (к сожалению, только один банк в этой стране предоставляет этот метод).

RSA-токен - это небольшой гаджет размером с USB-накопитель, на котором постоянно меняется серийный / порядковый номер, и он выдается вам (каждая палочка имеет различную последовательность номеров).Когда вы входите на веб-сайт своего банка, вы должны указать свой логин / пароль, а также текущий номер на токене RSA - , который меняется каждые две минуты .Это означает, что если злоумышленники собирают ваши данные для входа в систему, у них остается менее двух минут для входа в вашу учетную запись, прежде чем текущий порядковый номер RSA изменится, а полученные данные для входа станет невозможным для повторного использования.

Эта двухфакторная аутентификацияне серебряная пуля, хотя, я не вижу, чтобы Google выкатил это для вашей случайной учетной записи Gmail, и Facebook тоже.Это должно быть обязательным для финансовых учреждений и правительственных онлайн-департаментов, это сократит масштабы атак такого типа.Это широко используемый механизм защиты для удаленного доступа к порталам веб-сайтов компании и входам в удаленную сеть, и он достаточно успешен для этого.

Это все еще не ответило на ваш вопрос - как вы, как автор сайта?или владелец помешает этому?Вы не можете, если вы не запускаете сторонние сценарии и регулярно проверяете свои страницы, чтобы убедиться, что вы не скомпрометированы и не вставили сценарий.Вы никогда не должны пытаться сканировать какие-либо сторонние скрипты, потому что они могут быть запутаны до невероятной степени, которую вы не можете сканировать.Если вы запускаете сторонние скрипты и чувствуете себя достаточно уверенно, вы можете настроить машину, все, что она делает, - это автоматические тесты пользовательского интерфейса на вашем веб-сайте - это достаточно легко настроить с помощью некоторых базовых тестов и простооставляйте тестирование своего живого сайта каждые 30 или 60 минут в поисках неожиданных результатов.

Answer 3

Я только что зашел на страницу, о которой вы упомянули, и моя бесплатная программа проверки на вирусы (AVG) немедленно обнаружила угрозу (я предполагаю, что у него есть пример на этой странице) и предупредила меня о возможном использовании Tabnapping.

Так что это просто, легко

Answer 4

Как он и предлагает, используйте менеджер паролей.Есть немало других проблем, которые могут возникнуть, если вы каждый раз вводите свой пароль.Для сайтов, на которых не работает менеджер паролей, вы облажались.Клиентские сертификаты ftw.