TabNapping---小心你不注意的分頁

分頁、頁籤的分離功能，是現今許多軟體都會加上的一項東東
很方便，一個frame中可以「切換」你想要的區塊或叫Tab

最近上阿碼科技…看到在5/27的消息…發現了分頁綁架--TabNapping的手法

這的確是一個麻煩的東西…
麻煩在哪，麻煩在分頁

為什麼分頁很麻煩

因為，這個綁架技巧很機車…它在你current tab是這一個有問題的網站時，它的綁架就已經發生…但又很巧妙的讓你不知道，因為你正觀看這個網頁的時候，它已經摀上你分頁的嘴，所以你的分頁就靜靜的讓你繼續瀏覽它的內容

那有可能你會說，反正正在看的當下它又不會有反應…那就看完後就把分頁關掉就好啦

沒錯，但重點來了，你要「記得」關掉才行

為何我會這樣說?
因為，其實一般人使用電腦的習慣是，把一堆東西都開出來，然後想要用什麼再點選該應用程式再用，「暫時」不用的話就換下一個要使用東西到最上層或者切換其他的東西，原來前一秒還在使用的東西並不會關掉

這TabNapping就是利用這個習慣，在你「正在」使用的時候，它靜悄悄的不出聲，等到你不是「關掉」而是縮小、切換到其他視窗或分頁時，才會啟發它綁架的行為…
而正是因為你「縮小」或「切換」，所以注意力都集中到其他的地方上，自然而然就不會想到剛剛的網頁正在做什麼…而且一般人都以為網頁是「被動」的…

那當在你不注意的時候，那個網頁就可以準而跳轉到其他帶有malware或釣魚的網站讓你自投羅網…

跳到帶有malware的網頁可能還算小事，因為現在防護軟體的保護力不算弱，所以比較能夠防的住，但釣魚網站就不一定的…因為，人類是一個注意力很容易集中跟分散的動物，而且也是一個在集中後分散，或分散後集中的狀況下，很容易忘記東西

如果這個時候，被綁架的分頁連到一個釣魚網站，而這釣魚網站的模仿的網站又恰巧是你有在使用的金融、信用或帶有重要個資的網站，那你就只能來玩二分之一的勇氣了…

那怎麼防?
我想，只能靠自己用心注意了…

目前有一個叫WOT(Web Of Trust)的第三方提出了一種用來分析網站、網頁是否安全的機制，這是一個軟體，他有IE/FF/Chrome等幾方的瀏覽的plugin可以安裝，他會在你連線的網頁做出機制評判，當然，這個評判是靠全世界評等制的方式來做的…尤其在入口網站搜尋的時候，也會一併分析結果網頁，利用帶顏色的圖示告知…
為什麼我會提到這一個東東?
因為據說這軟體也會分析網頁是否帶有TabNapping的攻擊…當然，我是裝心安的成份居多啦

不過，你也可以使用noscript的方式來瀏覽未來你所有的網頁…
但，我想這樣逛網頁應該會很麻煩…

所以，就自己選著用囉