works what websecurity tls symantec how security browser encryption cryptography phishing

security - what - ¿Cómo defenderse contra TabNabbing?



websecurity symantec (4)

Me preocupé mucho por leer esta publicación genial de Aza Raskin .

¿Cuáles son las soluciones de no navegadores para defenderse contra TabNabbing? ¿Hay alguno?


Como sugiere, use el administrador de contraseñas. Existen muchos otros problemas que pueden ocurrir si escribe su contraseña cada vez. Para los sitios que el administrador de contraseñas no funciona, estás jodido. Certificados de cliente ftw.


"Tab Nabbing" no es un nuevo ataque, el Sr. Raskin está estafando a otros investigadores. El PDP de GnuCitizen descubrió esto en 2008 .

La mayor amenaza que veo es el phishing. Para ser sincero, no creo que haya una buena solución para detener el phishing. Este problema en particular creo que debería ser resuelto por el navegador. Eventualmente, Firefox y Chrome arreglarán el problema. Para ser sincero, SSLStrip es una amenaza más grande que todos los navegadores enfrentan, que se puede utilizar junto con este ataque de redirección. Actualmente Chrome tiene una solución en forma de STS y Firefox en forma de HTTPs en todas partes . Usar noscript también ayudará a mitigar este ataque de ataque de redirección.


Acabo de visitar la página que mencionas y mi comprobador de virus gratuito (AVG) detectó inmediatamente una amenaza (supongo que tiene un ejemplo en la página) y me advirtió de un Exploit Tabnapping.

Entonces esa es una, fácil, posibilidad


Una cosa que evitará que este tipo de cosas suceda es la autenticación de dos factores utilizando algo así como un token RSA (desafortunadamente, solo un banco en este país proporciona este método).

La ficha de RSA es un pequeño dispositivo USB que tiene un número de serie / secuencia que cambia continuamente y se emite (cada barra tiene una secuencia de números diferente). Cuando ingresa al sitio web de su banco, debe proporcionarle el registro / pase, y también el número actual en el token RSA; ese número cambia cada dos minutos . Eso significa que si los tipos malos recopilan sus datos de inicio de sesión, tienen menos de dos minutos para iniciar sesión en su cuenta antes de que cambie el número de secuencia de RSA actual y los detalles de inicio de sesión capturados se vuelvan imposibles de reutilizar.

Sin embargo, esta autenticación de 2 factores no es la bala de plata, no veo a Google desplegando esto para su cuenta aleatoria de Gmail, y tampoco lo hará Facebook. Debería ser obligatorio para las instituciones financieras y los departamentos gubernamentales en línea, esto reducirá el alcance de este tipo de ataque. Es un mecanismo de protección comúnmente utilizado para el acceso remoto a los portales de sitios web de la compañía y los inicios de sesión remotos de la red, y es bastante exitoso para esto.

Sin embargo, esto aún no ha respondido a su pregunta: ¿cómo puede usted, como autor o propietario de un sitio web, evitarlo? No puede, a menos que no ejecute scripts de terceros, y revise regularmente sus páginas para asegurarse de que no se haya visto comprometido y haya insertado un script. Nunca debe considerar intentar escanear ningún script de un tercero, ya que pueden ofuscarse en un grado increíble que posiblemente no pueda escanear. Si ejecuta scripts de terceros y tiene suficiente confianza en esto, puede configurar una máquina que solo hace pruebas de UI automatizadas en su sitio web; es bastante fácil de configurar con algunas pruebas básicas y solo déjalo probar tu sitio en vivo cada 30 o 60 minutos buscando resultados inesperados.