Ich war sehr besorgt, diesen genialen Beitrag von Aza Raskin .
Was sind die Nicht-Browser-Lösungen gegen TabNabbing? Gibt es welche?
"Tab Nabbing" ist kein neuer Angriff, Herr Raskin raubt anderen Forschern die Arbeit. PDP von GnuCitizen entdeckte diese zurück 2008 .
Die größte Bedrohung, wie ich es sehe, ist Phishing. Um ehrlich zu sein, glaube ich nicht, dass es eine gute Lösung gibt, Phishing zu stoppen. Diese speziellen Probleme sollten meines Erachtens vom Browser behoben werden. Irgendwann werden Firefox und Chrome es reparieren. Um ehrlich zu sein, SSLStrip ist eine größere Bedrohung, der alle Browser ausgesetzt sind, die neben diesem Umleitungsangriff verwendet werden können. Zur Zeit hat Chrome einen Fix in Form von STS und Firefox im Formular von HTTPs überall . Die Verwendung von noscript wird auch dazu beitragen, diesen Umleitungsangriffsangriff zu mildern.
Eine Sache, die das verhindern wird, ist Zwei-Faktor-Authentifizierung , die etwas wie ein RSA-Token verwendet (leider stellt nur eine Bank in diesem Land diese Methode zur Verfügung).
Der RSA-Token ist ein kleines USB-Stick-Gadget mit einer sich fortlaufend ändernden Serien- / Folgenummer, und es wird an Sie ausgegeben (jeder Stick hat eine andere Ziffernfolge). Wenn Sie sich auf der Website Ihrer Bank anmelden, müssen Sie log / pass und die aktuelle Nummer auf dem RSA-Token angeben - diese Nummer wird alle zwei Minuten geändert . Das heißt, wenn die bösen Jungs Ihre Login-Daten sammeln, haben sie weniger als zwei Minuten Zeit, um sich in Ihrem Account anzumelden, bevor sich die aktuelle RSA-Sequenznummer ändert und die erfassten Login-Daten nicht mehr wiederverwendet werden können.
Diese 2-Faktor-Authentifizierung ist jedoch kein Königsweg, ich sehe Google nicht für Ihr zufälliges Google Mail-Konto, und Facebook wird es auch nicht geben. Es sollte für Finanzinstitute und Online-Regierungsabteilungen verpflichtend sein, dies wird den Umfang dieser Art von Angriffen einschränken. Es ist ein häufig verwendeter Schutzmechanismus für den Fernzugriff auf Firmen-Website-Portale und Remote-Netzwerk-Logins, und es ist ziemlich erfolgreich dafür.
Dies hat Ihre Frage jedoch immer noch nicht beantwortet - wie können Sie dies als Autor oder Besitzer einer Website verhindern? Sie können das nicht, es sei denn, Sie führen keine Drittanbieter-Skripts aus und überprüfen regelmäßig Ihre Seiten, um sicherzustellen, dass Sie nicht kompromittiert wurden und ein Skript eingefügt wurde. Sie sollten niemals in Betracht ziehen, Scripts von Drittanbietern zu scannen, da diese zu einem unglaublichen Grad verschleiert werden können, nach dem Sie nicht suchen können. Wenn Sie Skripte von Drittanbietern ausführen und sich dazu stark genug fühlen, dann sollten Sie vielleicht einen Rechner einrichten, der nur automatisierte UI-Tests auf Ihrer Website durchführt - es ist einfach, mit einigen grundlegenden Tests und einfach einzurichten Lassen Sie Ihre Live-Site alle 30 oder 60 Minuten auf unerwartete Ergebnisse prüfen.
Wie er es vorschlägt, verwenden Sie den Passwort-Manager. Es gibt einige andere Probleme, die auftreten können, wenn Sie Ihr Kennwort jedes Mal eingeben. Für Websites, die der Passwort-Manager nicht funktioniert, sind Sie geschraubt. Client-Zertifikate ftw.
Tags und Links security cryptography browser encryption phishing