מה היא “חטיפת קליקים” (Clickjacking) בפייסבוק ואיך זה משפיע עליכם

לכאורה, רק לחצתם לייק על קבוצה בפייסבוק אבל בפועל, אתם עשויים לאפשר לפורצים להשתלט על מחשבכם ולקבל מידע אישי ופרטי שלכם. ים מסיקה מנתח, מסביר ומזהיר

הגעתי לכתוב את הפוסט הזה בעקבות עמוד בפייסבוק שידידה טובה שלי נרשמה אליו. אני לפעמים מתעניין, וחייב לעשות קליק אחד או שניים כדי לראות על מה באמת הרעש (כמובן שעבדכם הנאמן אף פעם לא עושה סתם “לייק” – יחי הסקריפט שעוקף את זה). היה זה יום קיצי במיוחד, והזדרזתי ללחוץ על Like כדי לבדוק מה מציעה הקבוצה החביבה שפורסמה בפרופילים של כל כך הרבה אנשים – אולם הסקריפט האוטומטי שלי לא עבד. “לצפייה בתוכן לחצו כאן – שיטה חדשנית למניעת ספאם. 100% אמיתי”. לחצתי. “בעקבות הכניסות הרבות והספאם, עלינו לוודא כי את/ה בן אנוש. לשם כך יש לבצע את הפעולות: ללחוץ על הצבע הכחול, ואח”כ על הצבע האדום”. לא לחצתי, כמובן, אולי מכיוון שאני כבר מכיר את ההתקפה, אולי מכיוון שזה סתם נשמע חשוד:

מילות הפוסט הראשונות היו כתובות כבר, וישבו במגירה (טוב נו, בפאנל הניהול) בערך כחודש. ואז, כשהתכתבתי עם רן בן-זיק הוא העלה קבוצה מעניינת בפייסבוק שהציגה את אותו קונספט. רן טען שלמרות שלא לחץ לייק בשום מקום – הפייסבוק טען שהוא דווקא כן, ואפילו הציג לכל החברים שלו שעשה Share. מיד עלינו על מה העניינים, ועל זה הפוסט: מה גורם לכך שאפילו חבר-כנסת נכבד יהיה ממש חייב לעשות לייק.

על בעיות ובלבולים של תוכנות (או: Confused deputy problem)

הרעיון ה”מתוחכם” לכאורה שמתחבא מאחורי הקונספט, הוא ממש לא מורכב כמו שהוא נראה. על מנת להבין אותו, אולי עדיף יהיה להסביר לפני-כן את המושג Confused deputy problem (שברשותכם, לא אתרגם לעברית). האזכור הראשון לבעיית ה-Confused deputy problem שמצאתי היה עוד בשנת 1988, והוא נעשה על ידי נורמן הארדי (שאת שמו, למרבה הצער, לא תמצאו בגוגל בעברית). נורמן אמר דבר יפהפה, שמשמש כמעט כל אחד היום בתחום אבטחת המידע. לפי גישתו הפשוטה למדי יש תוכניות מחשב שניתן לרמות על ידי “גורמים” מסוימים, כך שאותם גורמים ינצלו את הגישות שיש לתוכנית שהם מנצלים. הערה לחבר’ה היותר מנוסים: יש סיכוי שממש כרגע צווחתם “Privilege escalation!”, ואתם צודקים לחלוטין. Confused deputy problem הוא מקרה פרטי של הסלמה.

ניתן דוגמה: בואו נניח שיש לנו תוכנה שנקראת SuperNotepad. אותו SuperNotepad, כמו שאולי כבר ניחשתם, הוא עורך טקסט סופר-משוכלל, ממש ממש שווה, כזה שכל אחד היה רוצה להשתמש בו. אחת מהפונקציות של אותו עורך היא לשמור את הטקסט שכתבנו בעזרתו על כל קובץ שמתחשק לי, אבל קצת קשה להשיג עורך טקסט כזה משוכלל סתם ככה: עלות השימוש עבור כל פנקס טקסט שניצור היא דולר אחד. פרטי החשבון שלנו שמורים על קובץ בשם PaymentInfo, ומשם אותה תוכנה משוכללת לוקחת את המידע על אמצעי התשלום. רק ל-SuperNotepad יש גישה לכתוב אל PaymentInfo – למשתמש הרגיל אין. אז נגיד שאני אדגר אלן פו, והחלטתי לכתוב את הספר חיפושית הזהב, כמובן שבעזרת SuperNotepad. כשהתעייפתי והחלטתי לפרוש לישון, בחרתי באופציית השמירה והחלטתי לשמור את הסיפור שלי בשם… PaymentInfo. ניחשתם נכון – השתמשתי בתוכנה כדי להשמיד את פרטי החשבון, אליהם לא הייתה לי גישה קודם לכן. חכם האלן פו הזה.

החטיפות של היום…

הנקודה החשובה פה היא שרכבתי על הגישות שנתתי לתוכנה, ורימיתי אותה כך שתכתוב על קובץ טקסט אליו לא היה לי גישה בתור משתמש רגיל של המערכת. זהו קונספט בסיסי אך חכם, שמשמש בהתקפות רבות, כמו CSRF, ו… Clickjacking (או בעברית “חטיפת קליקים”), הוא מונח שנחקק על ידי חוקר האבטחה RSnake (או בשמו האמיתי: רוברט הנסן) בשנת 2008. כיום מקובל להשתמש גם בביטוי UI redressing (שמשמעו User Interface redressing).

נתחיל בהסבר הטכני, הנחוץ על מנת להבין את המתקפה: על מנת לבנות דפי אינטרנט יש צורך בידיעת HTML, שזו שפה בסיסית מאוד שניתן ללמוד בכמה שעות. הדפדפן קורא את קוד ה-HTML שבעל האתר כתב, ומציג, לפי אותו קוד, את דף האינטרנט שהמשתמש ביקש לראות. פונקציה מעניינת בשפה נקראת iframe, והיא מאפשרת לבונה האתר להכניס מעין מסגרת בתוך דף האינטרנט. בתוך המסגרת, בעל האתר יכול לשים דף אינטרנט אחר.

נניח שכתבתי דף אינטרנט חביב, שבו יש כפתור שאומר “לחץ כאן וקבל 500 ש”ח ללא הגרלה!”. בנוסף, אני אבנה iframe בלתי נראה (יש אופציה כזו), ובו אני אטען את פרופיל הפייסבוק של הקבוצה של Mesicka.com (אהא, יש לנו אחת כזאת, ואתם ממש רוצים להירשם אליה). כאן מגיע השטיק: אני איישר את כפתור ה-Like כך שיהיה בדיוק על הכפתור של “קבל 500 ש”ח ללא הגרלה”. רציתם 500 ש”ח? קיבלתם Mesicka.com. למרות שבדוגמה הזו דווקא יצאתם מרווחים, במקרים אחרים זה יכול להיות יותר ממזיק.

האינטיליגנטיים מבינכם כבר הצליחו לקשר את הבעיה לקבוצות המוזרות בפייסבוק. גללו קצת למעלה, ותראו את הכפתורים הצבעוניים והמגניבים, אלו שכל-כך מתחננים שילחצו עליהם כדי לראות את התוכן… אז חברים, אני גאה להציג – הנה התוצאה של ניתוח הקוד, הסרת הכפתורים ומה שמסביב, וחשיפת ה-iframes שהסתתרו מתחת:

מסוכן – ולא לכאורה

אז אתם תגידו “נו באמת ים, ממש אוי ואבוי. לחצנו LIKE בלי ידיעתנו. יוצרי הקבוצה יצאו קצת ממזרים, אבל למי אכפת? אם אלו הבעיות שהמתקפה יוצרת, אנחנו יכולים לישון בשקט”. ההתקפה בהחלט נשמעת לא מסוכנת, אבל מה אם במקום כפתור ה-Like שלחצתם בלי ידיעתכם היה כפתור אישור להעברת 500 ש”ח לחשבון הבנק שלי?

מעשה באליס התמימה שנכנסה לאתר ממש נחמד. על המסך הופיע Whack-The-Mole (המשחק המגניב ההוא שצריך לדפוק לחפרפרת פטיש בראש), והיא התחילה לשחק. מה שהיא לא ידעה הוא שמאחורי המשחק הוחבא iFrame שכלל את דף ההגדרות של נגן ה-Flash, ורצף הקליקים שהמשחק גרם לה לעשות אולי גרמו לה לנצח, אבל גם נתנו לתוקף אופציה להפעיל את מצלמתה ולצפות בה. חושבים שמדובר בסיפור מוגזם? אז זהו, שלא. הסיפור אמיתי (כמעט) לגמרי.

כמובן שמדובר על עולם ומלואו – האפשרויות לניצול ממש לא נגמרות כאן. התוקף יכול לגרום לכם לעקוב אחריו בטוויטר, לגרום לכם ללחוץ על פרסומות שיכולות להביא לו רווח כספי, לגרום לכם לאשר אפליקציות בפייסבוק שישלחו את המידע הפרטי שלכם לכולם ואפילו לגרום לכם לקנות את הספר החדש שהוא כתב דרך אמאזון, ממש בלי ידיעתכם. פשטות המתקפה הופכת אותה זמינה לכל בונה אתרים מתחיל, ועם זאת הסיכונים שבה עלולים להיות גבוהים ביותר. אז מה עושים?

לא צריך ימ”מ כדי להמנע מחטיפה

טכנית, הפתרונות מתחלקים לשני חלקים עיקריים: צד שרת, וצד לקוח. כאשר ההגנות נמצאות על צד השרת, זה אומר במילים פשוטות שבעל האתר יבנה אותם. לדוגמא: חנות יכולה לתכנת פתרון כך שלא ישתמשו בדף שלה כ-iframe, וכך לא יווצר מצב שבו הלקוח קונה מוצרים בלי ידיעתו. לעומת זאת, כאשר ההגנות נמצאות על צד הלקוח, אז האדם שהחליט לגלוש באינטרנט רוצה להגן על עצמו, ולכן הוא לוקח את נטל ההגנה על עצמו. לדוגמא: המשתמש יכול להתקין תוספים על הדפדפן שיחסמו דפים שנראים כיאילו הם מנסים לעשות Clickjacking.

כבר ראיתי מספר פתרונות צד לקוח אפשריים, אבל אף אחד לא חביב וגמיש כמו NoScript, שבאופן לא מפתיע, נמצא כפתרון צד לקוח מוביל כמעט בכל המאמרים. התוסף יודע לזהות מתקפות Clickjacking בעזרת טכנולוגיה שהם קוראים לה ClearClick, ולהתריע למשתמש ברגע שהוא מנסה ללחוץ על מקום מסוכן. התוסף מגן גם מפני הרבה זבל אחר על ידי השבתת ה-JavaScript בדפדפן. למי שלא מוצא חן בעיניו, כמובן שיכול להדליק את ה-Javascript בחזרה. ClearClick עדיין תפעל והפונקציונליות של הטכנולוגיה לא תפגע.

כיום יש מספר פתרונות עיקריים שפועלים על צד שרת. הפתרון הראשון וכיום הבטוח ביותר לדעתי, הוא הכנסת שורה בקוד האתר (לבוני אתרים: הכנסת ההאדר X-Frame-Options) שאוסרת על הכנסת הדף בתוך Frame בכל אתר אחר. אנשים שיקראו מאמרים במקומות נוספים יראו שהעניין עובד רק על הדפדפנים אינטרנט אקספלורר וספארי, אך בפועל כל דפדפן חדיש ומעודכן (Firefox, Google Chrome, Internet Explorer, Safari) יודע לעבוד עם השורה הזו. הבעיה העיקרית היא כאשר הקליינט משתמש בדפדפן ישן שלא יודע לפרש את הקוד, או כשהוא משתמש בפרוקסי (שלרוב חוסם קבלת Headers).

פתרון בעייתי – ה-Frame busting

פתרון צד שרת נוסף הוא ה-Frame busting. הפתרון הוא לכתוב סקריפט (מספר שורות קוד בשפה Javascript) שיושתל בדף שיש סיכוי שינוצל לרעה. מטרת הסקריפט היא לעצור את השימוש בדף בתוך Frame, והוא עושה זאת על ידי שימוש בשני חלקים: תנאי תפיסה – ופעולת הדיפה. נכון ליוני 2010, הסטטיסטיקות מראות על 6 אתרים מתוך 10 האתרים הגדולים ביותר שמשתמשים ב-Frame busting, כך גם 37 מתוך 100 הגדולים ו70 מתוך 500 הגדולים (*לפי מדד אלקסה). שימו לב שאחוזי השימוש בטכניקה קטנים ככל שהאתר פחות פופולארי.

תנאי התפיסה הוא בעצם הצורה של הסקריפט לזהות שימוש שיכול להיות רע בדף של האתר. רוב הפעמים, מדובר בתנאי שאומר “אם הדף הזה הוא לא הדף העליון ביותר…”. ראינו גם פעמים שתנאי התפיסה הוא “אם מספר הframing גדול/שונה מ0…”, ועוד הרבה וריאציות (לפעמים ממש מסורבלות) לתנאי תפיסה שונים ומשונים.

פעולת ההדיפה היא מה קורה כשתנאי התפיסה מצליח למצוא “הפרה”. הפרה היא מקרה בו תנאי התפיסה מתקיים, משמע, מנסים להשתמש בדף בתוך Frame. מצאנו טונות של סקריפטים שכתובים בדרכים שונות, אך לרובם אותו יעד: להפנות את המשתמש לאתר האמיתי. לדוגמה: evil.com מנסה לטעון דרך Frame עמוד ב-bank.com. תנאי תפיסה שהונח ב-bank.com תופס את המקרה, ופשוט משנה את העמוד – ובמקום evil.com, הוא טוען את האתר bank.com.

הבעיה שבהרבה מן האתרים, ישנו כשל לוגי בתנאי התפיסה או בפעולת ההדיפה. מספיק כשל אחד שכזה בפעולת ההדיפה על מנת למוטט את חומות ההגנה, ואנחנו הספקנו לראות הרבה שכאלו:

  • פעולת ההדיפה “שנה את המיקום של החלון שמעלי לאתר שלי”, במקום “שנה את החלון העליון ביותר לאתר שלי”. אם בevil.com השתלנו frame בתוך frame, וב-frame העמוק יותר שתלנו את bank.com שמשתמש בתנאי הזה, הוא פשוט יטען ל-frame הפחות עמוק, ולא יצליח למנוע לחלוטין את המתקפה (טכניקה זו נקראת Double Framing).
  • פעולת ההדיפה כתובה בדרך כלל כ-top.location = self.location (“שנה את המיקום של החלון העליון ביותר למיקום אתר שלי”). למרבה הצער, בדפדפנים ישנים כמו Internet Explorer 7 ו-Safari ניתן לדרוס את location, כך שהפעולה תעצר. (טכניקה זו נקראת Location Clobbering).
  • בדפדפן Internet Explorer 8 מותקן מנוע שעוצר מתקפות XSS, בין היתר על ידי זיהוי מילים חשודות בכתובת האתר. אם נקרא לאתר שנמצא ב-Frame באופן שיעורר את החשד של אותם מנועים, הם ימהרו לחסום את ה-Javascript באותו דף (שיכול להיות מסוכן). מכיוון ש-Frame Busting היא טכנולוגיה מבוססת Javascript – אפילו תנאי התפיסה לא יפעל. (טכניקה זו נקראת Exploiting XSS Filters)
  • כאמור, רוב פעולות ההדיפה מסתכמות ב”נווט את המשתמש לדף אחר”. ב-JavaScript קיימת מילת המפתח onBeforeUnload“, שגורמת לקטע קוד מסויים לפעול כאשר המשתמש רוצה לצאת מן האתר. אנחנו נקבע שכשקטע הקוד ירוץ, הוא פשוט ישאל את המשתמש האם הוא בטוח שברצונו לצאת מהאתר. מכיוון שהמשתמש לא תכנן לצאת מאיזשהו אתר, הוא ילחץ לא. במקרה כזה, פעולת ההדיפה שלנו תעצר – ואנחנו פגיעים לגמרי! מתקפה זו גם נקראת Asking Nicely (נחשו למה).
  • ישנה צורה אחרת, קצת יותר משוכללת של Asking Nicely. לצורך העניין, כל פעם שאנחנו גולשים לדף באינטרנט, אנחנו מקבלים מהשרת שמגיש לנו את הדף מספר מסויים. אותו מספר אומר לנו לאיזה סוג של דף הגענו (לא להכנס ללחץ שאף פעם לא ראיתם דבר כזה – המספר לא מופיע מנצנץ על המסך, אלא נשלח לדפדפן שלכם בשושו כדי שיוכל לפרש אותו): 200 החביב אומר שהדף נמצא והכל סבבה, 403 אומר שאין לנו גישה לצפות בעמוד ו-404 השנוא על כולנו (ואולי אפילו מוכר) אומר שהדף לא נמצא. בדף מספרי התגובות בויקיפדיה תוכלו לקרוא שתגובה מספר 204 אומרת: “אין כאן תוכן”, או במילים אחרות: הדף ריק, חברים. כך ניתן לתכנת שכאשר קורה onBeforeUnload, נבקש כל אלפית שנייה דף שמחזיר 204. זה מאוד יעיל, שכן דפי 204 כמעט ולא שוקלים כלום, ועם זאת – הם ישאירו אתכם בדף הנוכחי. Asking nicely בלי לבקש בכלל מהמשתמש (ניתן למצוא את המתקפה בשם No-Content Flushing).
  • הגירסאות הסלולריות של האתרים, כמעט כולם, פשוט לא מכילות קוד Frame busting :( [ואם כבר פלאפונים, יש יישום שלם של Clickjacking על Smartphones (טלפונים חכמים)! שווה לקרוא!]
  • אחד המאפיינים של iframe ב-HTML5 הוא sandbox – מה שמאפשר להשבית לחלוטין Javascript בתוך ה-Frame. מכיוון שתנאי התפיסה ופעולת ההדיפה שלנו מבוססות Javascript, המאפיין הזה פשוט ישבית את העבודה שלהן.

הדור החדש של UI Redressing (או: Clickjacking 2.0) – התחכום של Drag & Drop

באפריל 2010 פירסם פאול סטון מאמר המציג אפשרות להרחיב את מתקפת ה-Clickjacking. במאמר הוא מציג דרך חשיבה חדשנית, בה הוא מנצל את אפשרות הדפדפן לגרירת אובייקטים. הרבה ישומים משתמשים בגרירה: גרירת חפץ שנרצה לקנות לעגלת הקניות האינטרנטית, פס-גלילה או אפילו פאזל. רק לצורך טעימה מהמסך המעניין, באופציה הראשונה והמגניבה מציע פאול שאתר זדוני יכין מידע מוכן מראש, ויגרום למשתמש לגרור אותו לתוך תיבת טקסט (Text field injection). אל תשכחו שמה שהמשתמש גורר יכול להיות גם מספר חשבון הבנק של המתקיף, שבהמשך המתקפה ישומש להעברת כסף רב מחשבונו של הקורבן!

פאול מציע להשתמש בהגנות המסורתיות ל-Clickjacking, ואומר שההגנות יפעלו גם על רוב הגישות החדשניות שהציע: בעוד ש-Frame busting הופכת להיות קשה וקשה יותר למימוש נכון, שכן היא דבר פריץ מאוד, האופציה המסתמנת כנכונה ביותר היא פשוט “להחביא” את התוכן של הדף. דבר שכזה יכול להעשות על ידי הפיכתו לשקוף לכאורה, ברגע שזוהה ניסיון להכניס אותו לתוך Frame. הוא מבקש לציין שאף פתרון מבוסס Javascript הוא לא בטוח, ומציע להוסיף לכל דף את ההאדר X-FRAME-OPTIONS.

מקווה שהצלחתי ללמד משהו, ואם לא, לפחות שנהנתם מהמאמר המפורט.

מקורות ומקומות לקריאה נוספת: OWASP (SitePDF), DigitalWhisperWikipediaGoogle NewsPaul Stone’s article.

הפורסם פורסם לראשונה בבלוג של ים מסיקה

ים מסיקה

בן 18 ומסיים לימודים בחטיבה העליונה השנה. אני סקרן מאוד, פרפקציוניסט להחריד, אוהב ללמוד לעומק כל מה שאני מוצא בו עניין ולשתף אחרים בידע שאני צובר. את דעתי אני מביע באופן נחרץ וברור (גם אם היא בעמדת מיעוט), ואני תמיד שמח להתווכח עליה ולהביא טענות משכנעות. אני מתכוון לעשות זאת פעמים רבות בבלוג, שכן הנושאים שאני מעלה מעוררים פעמים רבות חילוקי דעות קשים (שמתנהלים בעיקר בחלק התגובות). תחום ההתעניינות העיקרי שלי הוא המחשב, בו אני משקיע את רוב שעות היום, ללמוד ולפתח מיומנויות חדשות בכל מה שזז כאן. בגדול, אני חי ונושם את עולם המחשבים והאינטרנט. אני יודע תכנות בשפות רבות (אם כי לא ברמה גבוהה מדי) ומתעסק בטכנאות, הקמת אתרים, משחקים (גיימר) וכן מתעסק בזמן האחרון באבטחת מידע, וטיפה ברשתות.

הגב

35 תגובות על "מה היא “חטיפת קליקים” (Clickjacking) בפייסבוק ואיך זה משפיע עליכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מוריה
Guest

כתבה טובה מאוד. חבל רק שאתה משתמש במונחים שיבינו בעיקר משתמשים “חכמים” כשמדובר בתופעה שבדרך משתמשים “רגילים” ומטה לוקחים בה חלק. כך למשל, חשבתי להפיץ את כתבתך בקרב חבריי, אבל אז התחרטתי כי הם גם ככה לא יבינו שום דבר.

ועוד דבר, אמנם HTML היא שפת תיוג פשוטה, אבל ללמוד אותה בכמה שעות?!
אולי אם אתה דוגי האוזר…

קיצר, כתבה טכנית מאוד מעניינת, אולי כדאי לעשות גירסא שלה גם ל-“מתחילים” :)

ים מסיקה
Guest
היי מוריה ותודה רבה על התגובה, כ-ל הכתבות באתר שלי ( http://www.Mesicka.com ) כתובות בעיקר למשתמש המתחיל, והרבה הרבה פחות למשתמש החכם. המשתמש החכם יוכל למצוא את המאמרים בשבילו כמעט בכל חור, בעיקר באנגלית. ראוי לציין שחברים רבים שלי קראו את הכתבה, וכתבות שמאופיינות באופן טכני לא בהיר זוכות למעט “לייקים” יחסית (לדוגמה: “מבזקי ברק” האחרונים זכו ל-7 לייקים בלבד :( ) בעוד מאמרים בהירים עם אופי שפונה יותר למשתמש מוכיחים את עצמם בכמות הלייקים (24 עד כה). גילוי נאות: את הידע שלי ב-HTML רכשתי בכ-5 שעות, אחרי שלמדתי את שפת התכנות הראשונה שלי. מוזמנת לעיין כאן: http://www.w3schools.com/html/default.asp ולהגיד לי… Read more »
יוסי
Guest

מאמר תועלתי ונהדר.
תודה!

ים מסיקה
Guest

תודה רבה יוסי, נעים לשמוע (:

תמיר פרידמן
Guest

אחלה כתבה…כתוב מצויין ומאד מעניין

ים מסיקה
Guest

תודה רבה (:

יניב
Guest

באמת אחלה כתבה ! תודה.

מיכאל ויצמן
Member

אחלה כתבה – תודה

אבטחת מידע
Guest

כתבה מעולה, גורם לך לתהות כמה שניות לפני הכפתור הלייק הבא שאני הולך ללחוץ עליו…

תום
Guest

אהבתי את הכתבה, למדתי הרבה.

הדס
Guest

אחלה כתבה ואני לא חושבת שזה למשתמש החכם אלה למשתמש הרגיל שמכיר כבר מספר מושגים

ים מסיקה
Guest

תודה לכולם (:

בתי
Guest

אהלן ים,
כתבה מועילה ביותר :)
כשניסיתי להתקין את no script מהקישור שנתת, בחלון שנפתח צוין שזה מתאים לפיירפוקס, וגם לא הצלחתי לפתוח אותו (לwindowes אין אפשרות לפתוח קובץ זה)
תוכל לשער מהי הבעיה?
איפה אוכל למצוא התקנה שמתאימה לאקספלורר וכרום?
תודה!

ים מסיקה
Guest

היי בתי,

בכתבה עצמה צוין שהתוסף מתאים רק לשוא”ש.
למרבה הצער אין תוסף דומה לאינטרנט אקספלורר ):
ב Chrome יש את NoTScript, (עם T באמצע), אבל אני לא סגור על עד כמה הוא חוסם Clickjacking.

תודה על המחמאות (:
– ים מסיקה

קושקושון
Guest

התקנתי את NoScript ואני לא מוצא איפה מחזירים ג’אווה סקריפט רגיל. כמו כן, מה מומלץ לשנות בהגדרות ברירת המחדל של התוסף?

ים מסיקה
Guest

היי איתי,

כל אחד ומה שנוח לו. על מנת להחזיר את ה-Javascript, פשוט מצא את כפתור ה-S בStatus Bar התחתון. זהו הכפתור של התוסף NoScript. לחיצה ימנית עליו, ו-Allow Scripts Globally תעשה את העבודה.

בהצלחה.

טל
Guest

Like על הכתבה, כתובה בצורה נעימה לקורא.
BTW, ראיתי שאתה בן 18, ואני לא יודע אם שמעת, אבל יש קהילה עם אחלה חבר’ה בכתובת http://www.startupseeds.co.il (אל תפסול את הקהילה מהסתכלות של כמה שניות, ‘תתתחפר’ שם קצת, ותסתכל על כולה, יש גם מדריך בצד שמאל)

ים מסיקה
Guest

היי טל,
אני מכיר את הקהילה. השתקעתי כבר במס’ קהילות אחרות, אבל תודה בכל מקרה על ההצעה והתגובה החיובית (:
– ים

איתי בנר
Guest

תודה רבה על ההסבר המעמיק. בשלב מסוים זה הפך לקצת יותר מדי מקצועי בשבילי, אבל הבנתי את מהות התופעה, ולא הייתי ער לה בעבר – הייתי בטוח שזה סתם “ספאם” פרסומי רגיל לכל דבר. עכשיו כשאני מבין איך עשו זאת – זה מפחיד הרבה יותר.

שמואל
Guest

מאמר מעולה
כתוב טוב

נילי
Guest

מאמר מצויין! מאד מחנך. להבדיל מתגובות אחרות, אני חושבתשהוא ברור גם למי שלא מבין גדול באינטרנט.
תודה

גיא
Guest

כתבה מצויינת, חוץ מהחלק של צד השרת מאחר וזה לא נוגע באמת למשתמש היום יומי אלה יותר לאנשים אשר זהו מקצועם.

יש לי NoScript מותקן כבר זמן רב אבל אף פעם הוא לא הציג בפני דברים כמו שמוצג אצלךcomment image)
יש סיבה לכך?

גיא
Guest

סליחה לחצתי מהר מידי, ברור לי שיש סיבה השאלה היא מה היא אותה הסיבה.

ים מסיקה
Guest

אהלן גיא,

הכתבה אכן מדורגת מההתחלה – שמיועדת למשתמש היומיומי, ועד הסוף – שמיועד יותר לבונה האתרים, או לעוסק באבטחת מידע, זאת על מנת שלא יווצר מצב שהכתבה כולה תהיה בלתי קריאה. אני מאמין שעם קצת מאמץ ועניין, גם הסוף קריא – אבל זה עניין של טעם.
מטרת ה-NoScript היא לחסום סקריפטים בלבד. התוסף איננו מציג את מה שראית בתמונה.
מה שראית בתמונה, היה “ניתוח לב פתוח” של העמוד. את הניתוח ביצעתי אני בעזרת התוסף Firebug, שמאפשר לערוך קוד של אתרים. בעזרת אותו התוסף, הסרתי את כל האלמנטים שהסתירו ממש את מה שאתה רואה בתמונה, וחשפתי את ההונאה.

תודה על התגובה (:
– ים מסיקה

ים מסיקה
Guest

תודה רבה לכל מי שהגיב עד כה עם המחמאות והשאלות.

דיתי
Guest

ים,
אני ממש לא שוחה בעניינים האלה ובכל זאת הבנתי את רוב דבריך… אין לי כוונה להתקין כל מיני אמצעי-נגד כדי להגן על עצמי, אני רוצה להתגונן פשוט על ידי הפחתה מקסימלית של הפעולות שלי שיכולות לחשוף אותי לחטיפת קליקים. אתה מתיחס ללחיצה על לייק בקבוצות או דפי פייסבוק. מה עם הלייק הפשוט שמתיחס לסטטוס או ללינק שמישהו שם על הקיר של עצמו בפיסבוק (או לתגובה שהגיב לך ובא לך להראות לו שאהבת אותה)? האם גם שם עלולה להיות iframe? אני מניחה שלא אבל מעדיפה לשמוע זאת ממך… ואיפה עוד אנחנו עלולים ליפול לטריק הזה? תודה – דיתי

ים מסיקה
Guest

היי דיתי.

למרבה הצער הטריק זמין בכל דף שבו יש לעורך הרשאות HTML ו-JavaScript. זאת אומרת – כל מנהל אתר יכול להפיל אותך למתקפה.
כמו שהנחת, בפייסבוק, העניין זמין רק בתוך קבוצות ו”דפים” (Pages) למינהם.
איך נזהרים? לא לוחצים על דברים מפוקפקים סתם (נניח, הלחיצה על האדום ואז על הכחול צועקת לחטיפה), או מתקינים תוספים שמנסים למנוע (המלצת השף).
חשוב לציין שאני מאוד לא רוצה לייצר היסטריה מהרשת – ובסופו של דבר עם אמצעי ההגנה הנכונים וגלישה במקומות הנכונים, אין שום סיבה להיות קורבן.

תודה על התגובה וחג שמח (:
– ים

עדיין לא ברור
Guest

מה האינטרס של יוצרי העמודים הללו בפייסבוק? מה יוצא להם מהתופעה הזאת?

ים מסיקה
Guest

היי.

רבים מהיוצרים של העמודים רוצים להשיג “לייקים”, על מנת שלאחר מכן, כשיפרסמו הודעה חדשה בעמוד, כל מי שלחץ Like יקבל את ההודעה שפורסמה.
כך עמודים גדולים יכולים לפרסם מוצרים, ואפילו להרוויח על זה כסף.

– ים

דודו
Guest

שלום! קודם כל תודה רבה על המידע. לא הבנתי אבל כיצד הדבר יכול לגלוש לניצול יותר רציני כמו גניבת כסף ?

ים מסיקה
Guest

גניבת כסף יכולה להתבצע על ידי דרכים מספר:
– 1. שימוש בפרסומות שהמשתמשים ילחצו עליהן בזמן שהם לא באמת רואים אותם.
– 2. קניית מוצרים ששייכים ליוצרי ההונאה (כך שהכסף יועבר עליהם).
– 3. העברות כסף ישירות באתרים לא אחראיים שלא טרחו להתגונן.
ואתה מוזמן להמשיך אותי (:

תודה על התגובה,
– ים מסיקה

דן
Guest

אכן כתבה משכילה ופוקחת עיניים. איזה כיף שיש דור של איכפתים כמוך בעלי ידע ויכולת לסייע ל”זקנים” כמוני.
הייתי ממש שמח לתמצית עניינית, פשטנית ואולי קצת “מפחידה” הכתובה באופן שבו הילדים של היום (בני ה-10 עד 15) יבינו אותה. אני רואה את השימוש הנרחב בפייסבוק אצלם וההקלקות והשפה ולא ממש מבין את כל מה שהם כותבים אבל בטח הייתי שמח שיקראו את הכתוב.

ישר כח!

ים מסיקה
Guest

היי,

אני לא נוהג לכתוב כתבות “מפחידות”, אני משתדל יותר להביא את האינפורמציה כמו שהיא (בהנחה שהיא מספיק מפחידה ככה ;) ). הכתבה כתובה באופן מדורג, כך שבתחילתה היא מובנת לכל אחד ולאחר מכן היא “מתגלגלת” לשפה טכנית. אם להפחיד את הילדים, פשוט אפשר “לחתוך” את הכתבה מהכותרת “לא צריך ימ”מ כדי להמנע מחטיפה” ומטה (;

תודה רבה על התגובה והמחמאות,
– ים מסיקה

Moty_p
Guest

שנים שאני בונה אתרים, ואני לא מבין איך זה אפשרי לעשות מסגרת מוטבעת (איפרם IFRAM) שהוא יהיה שקוף ולמעשה המשתמש לוחץ על אוביקט פלאש וזה גם פועל על ההמסגרת.
פשוט לא נשמע הגיוני.

avi
Guest

יש פתרון מעולה וחכם לבעיה המתוארת

http://www.comitari.com

wpDiscuz

תגיות לכתבה: