IE8 کے Clickjacking درست نہیں، ماہرین کہتے ہیں

منگل کے روز سیکورٹی ماہرین نے کہا کہ انٹرنیٹ ایکسپلورر کے صارفین کو انٹرنیٹ پر ایکسپلورر صارف کی حفاظت کے لئے ڈیزائن کیا گیا نئے مائیکرو مائیکروسافٹ نے اس مسئلے کو حل نہیں کیا جائے گا.

مائیکروسافٹ نے اس ٹیکنالوجی کو اپنے اگلے کے ابتدائی "رہائشی امیدوار" امتحان کے ورژن کے طور پر جاری کیا. ابتدائی انٹرنیٹ ایکسپلورر 8 براؤزر نے کہا کہ کمپنی نے کلک کرنے کے طور پر جانا جانے والے حملے کے لئے "صارفین کے لئے تیار" تحفظ تیار کیا تھا. clickjacking میں، حملہ آوروں کو اس کے بغیر بغیر ویب بٹنوں پر کلک کرنے میں چالوں کے متاثرین میں خصوصی ویب پروگرامنگ کا استعمال ہوتا ہے. حملے ختم کرنے کے لئے مشکل ہے، لیکن اس کے برعکس، کلکجیکٹنگ کچھ بہت گندی چیزیں کر سکتے ہیں، جیسے مالی ویب سائٹس پر اسٹاک کی تجارت، تبدیل روٹر یا فائر فاکر ترتیبات، یا کسی بھی کسی کو غیر معمولی سافٹ ویئر ڈاؤن لوڈ کرنے پر مجبور کرنے کے قابل.

مسئلہ بہت وسیع ہے کہ سیکورٹی ماہرین فکر کرتے ہیں کہ مائیکروسافٹ کے نقطہ نظر صرف اس وقت کام کرتا ہے جب ویب سائٹ ڈویلپرز ان صفحات پر خصوصی ٹیگ شامل کریں جو اپنے ویب بٹن کو غلط استعمال سے روکنے کے لۓ، IE صارفین کو سیکورٹی کے غلط احساس کو ختم کردیں.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

"یہ تخیل کے کسی بھی حصے کی طرف سے clickjacking کے حل نہیں ہے. IE8 کا استعمال کرتے ہیں جو بہت کم لوگوں کے لئے یہ ایک بہت کم خطرناک عنصر ہے". SecTheory کنسلٹنسی، اور ان لوگوں میں سے ایک جو مائیکروسافٹ کے معاملے کو سب سے پہلے نے اطلاع دی. "لیکن یہ دلچسپ ہے کہ وہ اسے سنجیدگی سے لے رہے ہیں." ​​

کچھ ویب سائٹس مائیکروسافٹ کی ٹیکنالوجی کو یقینی طور پر کلک کریں گے کہ ان کے زائرین کو کلک کریںکسیکنگ سے ہٹانے سے روکنے کے لۓ، وہاں بہت سارے دیگر علاقوں ہیں جہاں ایچ ٹی ایم ایل کوڈ کا امکان نہیں ہے. اپ ڈیٹ اور ہیکرز حملوں کو روک سکتے ہیں - روٹر انتظامی انٹرفیس یا کارپوریٹ ایپلی کیشنز کو نشانہ بناتے ہیں، یا ویب سائٹس کے بعد جا رہے ہیں جو مائیکروسافٹ کے فکسڈ کو لاگو کرنے کے لئے نہیں مل سکے. ہنسین نے کہا کہ "یہ ایک حل ہے جس میں، اگر کوئی فیصلہ کرے کہ یہ چیزیں کرنے کا صحیح راستہ ہے، تو یہ اب بھی تعلیم کے سالوں اور سال لگے گی."

اس کے باوجود، کچھ صارفین غلطی سے سوچتے ہیں کہ وہ محفوظ ہیں صرف اس وجہ سے حملہ کرتے ہیں کہ وہ جیورجیو مون، فائر فاکس نوس سکرپٹ پلگ ان کے ڈویلپر، کے مطابق IE کا استعمال کر رہے ہیں، جس میں عام طور پر کلک ہونے والے ویب پر مبنی حملوں سے بہترین تحفظ ہوتا ہے. انہوں نے اپنے بلاگ کو منگل کو اپنے بلاگ پر لکھا ہے کہ "IE کے حوصلہ افزائی کے لئے بری خبر یہ ہے کہ وہ باکس کے تحفظ سے باہر کوئی جادو نہیں ہے." "سچ ہے، یہ کسی بھی 'براؤزر اضافی' کی ضرورت نہیں ہے … لیکن یہ بھی زیادہ سخت ضرورت کے ساتھ آتا ہے: تمام سائٹس کو محفوظ کرنا لازمی طور پر پہلے سے ہی ایک نیا ملکیت ہیک منظور کرنا ضروری ہے، یعنی کوئی اختتامی صارف کی توثیق نہیں کرسکتی ہے، اکیلے نافذ کرنے کے لۓ. "

نو ایس ایس ایس کو صارفین کو فاکس فاکس براؤزر کے اندر سکرپٹ کی زبانوں کے استعمال سے انتخابی طور پر بلاک کرنے کی اجازت دیتا ہے. چونکہ کلک جیکنگ سکرپٹ کرنا ضروری ہے، اس وقت حملہ نہیں کرتا جب کوئی اسکرپٹ فعال نہ ہو.

مہینوں کے لئے، ماؤن کے پلگ ان کو کلک کرنے سے روکنے کے لئے بہترین معروف ٹیکنالوجی رہا ہے. اگرچہ IE 8 ٹیسٹ کوڈ کے ساتھ، مائیکروسافٹ کے آخر میں اپنا متبادل ہے.

وضع کی مدد کے لئے، Maone ایک مطابقت کی خصوصیت کی ترقی کر رہا ہے تاکہ NoScript صارفین کو IE کی طرف سے استعمال کردہ اسی ویب کوڈ کا فائدہ اٹھا سکے گا. اب وہ اس خصوصیت میں لابی کرنے والے ہیں جو فائر فاکس کے آئندہ ورژن میں شامل ہیں.

ہنسن اور ماون نے بھی مائیکروسافٹ نے ٹیکنالوجی کی تکنیکی تفصیلات پر دستخط کرنے پر تنقید کی. ہنسین نے کہا کہ "اگرچہ انہوں نے اس پر عمل درآمد کیا ہے، انہوں نے ہدایت نہیں دی ہے کہ اسے اصل میں کس طرح استعمال کیا جائے."

مائیکروسافٹ نے بتایا کہ اس نے اینٹی کلکجیکٹنگ پر بلاگ پوزیشن قائم کرنے کی منصوبہ بندی کی. اس ہفتے کچھ عرصے سے خصوصیت اور اس نے تمام بڑے براؤزر وینڈرز کے ساتھ کام کیا تھا "انٹرنیٹ ایکسپلورر 8 RC1 شپنگ کرنے سے قبل کلک کرنے کے ٹیگ کے عمل میں ہمارے بارے میں رائے اور ان پٹ حاصل کرنے کے لئے."

اس پوسٹ کو مددگار ثابت ہوسکتا ہے. وائٹ ٹوپی سیکیورٹی کے سربراہ یمنیا گراسمین نے یرمیا گراسمین کو بتایا کہ جب چیزیں اب کھڑی ہیں، تو یہ لگتا ہے کہ "خصوصیت خود کو محفوظ رکھنے کے لئے صارف کی اجازت نہیں دیتا ہے."

ہینسن نے کہا کہ مائیکروسافٹ کے ڈویلپرز نے پہلے ہی کئی ماہ پہلے اپنے IE8 clickjacking کو طے کرنے کی تجویز کی ہے جب انہوں نے پہلے ان کو مسئلہ بیان کیا تھا. انہوں نے کہا کہ "میں نے اسے ایک طویل مدتی، قابل کلک حل کلک کرنے کے لۓ نہیں مسترد کیا،" انہوں نے کہا.