Во вторник многие аналитики вынесли неутешительный для Microsoft вердикт –
новая технология этой компании, призванная защитить пользователей Internet
Explorer от клик-джекинга, не решает поставленной перед нею задачи.

Microsoft включила данную функцию в пре-релизную версию браузера Internet
Explorer 8, заявив при этом, что предлагает "готовую к употреблению" защиту от
клик-джекинга. При реализации этой атаки хакеры с помощью специальных методов
веб-программирования заставляют пользователей кликать по кнопкам, которые те не
видят, что чревато самыми тяжелыми последствиями, начиная от загрузки
нежелательных приложений, изменения конфигураций роутеров и файерволов и
заканчивая биржевыми махинациями на финансовых сайтах.

Проблема настолько серьезна, что сетевые эксперты выражают свою озабоченность
в связи с тем, что предложенные Microsoft меры могут привести к появлению у
пользователей IE8 ложного чувства безопасности, хотя для того, чтобы данная
функция была эффективной, со стороны веб-мастеров необходимо добавление
специальных тэгов, защищающих каждый конкретный сайт от злоупотреблений.

Глава SecTheory Роберт Хансен по этому поводу заявил, что данная технология
не решает проблему клик-джекинга ни в коей мере, и является лишь не очень
значительным инструментом, пригодным для весьма ограниченного числа людей.
Больше всего его удивляет, насколько серьезно в Microsoft относятся к своей
затее.

Несмотря на то, что многие сайты наверняка внедрят технологию Microsoft для
защиты себя от клик-джекинга, существует огромное количество областей, где
HTML-код с большой долей вероятности не обновится, чем хакеры не преминут
воспользоваться.

Солидарен с ним и разработчик одного из лучших защитных плагинов для Firefox
Джорджио Маоне. Хуже того, автор NoScript полагает, что поклонники IE не
получили волшебной защиты "прямо из коробки", и хотя предложенная редмондским
гигантом методика не требует установки каких-либо дополнений, для нормальной
работы необходимо нечто намного большее – чтобы все сайты в мире уже имели ее
встроенную поддержку. Тем не менее, Маоне разрабатывает инструментарий,
обеспечивающий совместимость с новой идеей Microsoft и лоббирует его внедрение в
следующий релиз Firefox.



Оставить мнение