分頁、頁籤的分離功能,是現今許多軟體都會加上的一項東東
很方便,一個frame中可以「切換」你想要的區塊或叫Tab
最近上阿碼科技…看到在5/27的消息…發現了分頁綁架--TabNapping的手法
這的確是一個麻煩的東西…
麻煩在哪,麻煩在分頁
為什麼分頁很麻煩
因為,這個綁架技巧很機車…它在你current tab是這一個有問題的網站時,它的綁架就已經發生…但又很巧妙的讓你不知道,因為你正觀看這個網頁的時候,它已經摀上你分頁的嘴,所以你的分頁就靜靜的讓你繼續瀏覽它的內容
那有可能你會說,反正正在看的當下它又不會有反應…那就看完後就把分頁關掉就好啦
沒錯,但重點來了,你要「記得」關掉才行
為何我會這樣說?
因為,其實一般人使用電腦的習慣是,把一堆東西都開出來,然後想要用什麼再點選該應用程式再用,「暫時」不用的話就換下一個要使用東西到最上層或者切換其他的東西,原來前一秒還在使用的東西並不會關掉
這TabNapping就是利用這個習慣,在你「正在」使用的時候,它靜悄悄的不出聲,等到你不是「關掉」而是縮小、切換到其他視窗或分頁時,才會啟發它綁架的行為…
而正是因為你「縮小」或「切換」,所以注意力都集中到其他的地方上,自然而然就不會想到剛剛的網頁正在做什麼…而且一般人都以為網頁是「被動」的…
那當在你不注意的時候,那個網頁就可以準而跳轉到其他帶有malware或釣魚的網站讓你自投羅網…
跳到帶有malware的網頁可能還算小事,因為現在防護軟體的保護力不算弱,所以比較能夠防的住,但釣魚網站就不一定的…因為,人類是一個注意力很容易集中跟分散的動物,而且也是一個在集中後分散,或分散後集中的狀況下,很容易忘記東西
如果這個時候,被綁架的分頁連到一個釣魚網站,而這釣魚網站的模仿的網站又恰巧是你有在使用的金融、信用或帶有重要個資的網站,那你就只能來玩二分之一的勇氣了…
那怎麼防?
我想,只能靠自己用心注意了…
目前有一個叫WOT(Web Of Trust)的第三方提出了一種用來分析網站、網頁是否安全的機制,這是一個軟體,他有IE/FF/Chrome等幾方的瀏覽的plugin可以安裝,他會在你連線的網頁做出機制評判,當然,這個評判是靠全世界評等制的方式來做的…尤其在入口網站搜尋的時候,也會一併分析結果網頁,利用帶顏色的圖示告知…
為什麼我會提到這一個東東?
因為據說這軟體也會分析網頁是否帶有TabNapping的攻擊…當然,我是裝心安的成份居多啦
不過,你也可以使用noscript的方式來瀏覽未來你所有的網頁…
但,我想這樣逛網頁應該會很麻煩…
所以,就自己選著用囉
沒有留言:
張貼留言