我非常担心阅读Aza Raskin 的这篇天才文章。
防御 TabNabbing 的非浏览器解决方案有哪些?有吗?
问问题
2053 次
4 回答
2
“Tab Nabbing”并不是一种新的攻击,拉斯金先生正在剽窃其他研究人员的工作。GnuCitizen 的 PDP早在 2008 年就发现了这一点。
在我看来,最大的威胁是网络钓鱼。老实说,我不认为有一个很好的解决方案来阻止网络钓鱼。我认为这个特殊问题应该由浏览器解决。最终 Firefox 和 Chrome 将开始修复它。老实说, SSLStrip是所有浏览器都面临的更大威胁,可以与这种重定向攻击一起使用。目前,chrome 以HTTPs Everywhere的形式修复了STS和 Firefox 的形式。使用 noscript 也将有助于减轻这种重定向攻击。
于 2010-06-20T20:31:36.757 回答
1
防止这种事情发生的一件事是使用 RSA 令牌之类的两因素身份验证(不幸的是,这个国家只有一家银行提供这种方法)。
RSA 令牌是一个 USB 记忆棒大小的小工具,上面有一个不断变化的序列号/序列号,它会发给你(每个记忆棒都有不同的数字序列)。当您登录到您的银行网站时,您必须提供您的登录/通行证,以及 RSA 令牌上的当前号码 -该号码每两分钟更改一次。这意味着,如果坏人收集了您的登录详细信息,那么在当前 RSA 序列号更改并且捕获的登录详细信息变得无法重复使用之前,他们只有不到两分钟的时间登录您的帐户。
不过,这 2 因素身份验证并不是灵丹妙药,我认为 Google 不会为您的随机 Gmail 帐户推出此功能,Facebook 也不会。对于金融机构和在线政府部门应该是强制性的,这将减少此类攻击的范围。它是一种常用的远程访问公司网站门户和远程网络登录的保护机制,在这方面是相当成功的。
不过,这仍然没有回答您的问题 - 作为网站作者或所有者,您如何防止这种情况发生?你不能,除非你不运行第三方脚本,并定期检查你的页面以确保你没有被入侵并插入了脚本。您永远不应该考虑尝试扫描任何第三方脚本,因为它们可能会被混淆到您无法扫描到的令人难以置信的程度。如果您确实运行了第三方脚本并且对此感觉足够强烈,那么您可能想要设置一台机器,它所做的只是在您的网站上进行自动化 UI 测试 - 设置一些基本测试很容易,并且只需让它每 30 或 60 分钟测试一次您的实时站点,以寻找意外的结果。
于 2010-06-20T01:01:20.290 回答
0
就像他建议的那样,使用密码管理器。如果您每次都输入密码,还会发生很多其他问题。对于密码管理器不起作用的网站,你被搞砸了。客户端证书ftw。
于 2010-06-19T23:47:30.170 回答
0
我刚刚访问了您提到的页面,我的免费病毒检查器 (AVG) 立即检测到了威胁(我认为他在页面上有一个示例)并警告我 Tabnapping Exploit。
所以这是一个简单的可能性
于 2010-06-20T01:10:04.060 回答