Tror ikke på antiklikkapring

Tror ikke på antiklikkapring

Sikkerhetseksperter tror ikke den nye funksjonen i Internet Explorer 8 hjelper sluttbrukerne.

- Det er ikke en løsning på klikkapring uansett hvordan man vrir og vender på det. Det er en vag motgift for de få folkene som bruker Internet Explorer 8, sier direktør i konsulentselskapet Sectheory, Robert Hansen, om de nye antikapringstiltakene i Microsofts nye nettleser.

Funksjonene skal hindre såkalt clickjacking ved at webutviklere mater inn en spesialtag på nettsiden for å forhindre misbruk av html-knapper. Hansen frykter dette vil gi brukere av Internet Explorer (IE) en falsk sikkerhetsfølelse, skriver Computerworlds internasjonale nyhetstjeneste.

Han mener mange sider nok vil ta i bruk antiklikkapringskoden, men at det likevel vil være altfor mange steder på nettet der koden ikke blir brukt. Dermed blir disse sidene målskiver for angripere.

- Dette er en løsning som, selv om alle bestemmer at det er måten å gjøre det på, vil ta flere år med opplæring, sier Hansen.

Han berømmer likevel forsøket, som han mener viser at Microsoft tar problemstillingen på alvor.

"Konkurrent" også skeptisk

Programmerer Giorgio Manoe frykter IE-brukere vil føle falsk trygghet fordi de bruker IE. Han har laget programvedlegget Noscript til IEs rivaliserende nettleser Mozilla, som også skal beskytte mot ulike webangrep, deriblant klikkapring.

- Det som er dårlig nytt for IE-entusiaster, er at de ikke har noen magisk, umiddelbar beskyttelse (...). Sant nok trengs ikke noe tilleggsprogram for nettleseren (...), men den kommer med et enda sterkere krav: At alle sider som skal gi beskyttelse må ha lagt til en ny proprietær hack, altså noe en sluttbruker ikke kan verifisere (...), skriver han i sin blogg.

Noscript fungerer, slik navnet indikerer, ved at scriptutførelse kan slås av på nettsider. Dermed kan ikke klikkaprere, som i all hovedsak bruker script, kapre klikk. Denne løsningen har i flere måneder vært den best kjente for å motvirke klikkapring. Men med IE har altså Microsoft sitt eget alternativ. Maone er i ferd med å utvikle en kompabilitetsfunksjon som gjør at Noscript også kan bruke samme teknikk som IE i en kommende versjon.

Ifølge Microsoft skal det blogges en del informasjon om antiklikkapringsfunksjonen denne uken. Selskapet sier også det har jobbet med andre nettleserleverandører for å få tilbakemelding på innføringen av denne nye antiklikkapringstaggen.