我非常关注阅读this genius post by Aza Raskin。
什么是非浏览器防范TabNabbing的解决方案?有没有?
答案 0 :(得分:2)
我认为最大的威胁是网络钓鱼。说实话,我认为没有一个很好的解决方案来阻止网络钓鱼。我认为这个特殊问题应该由浏览器修复。最终Firefox和Chrome将解决这个问题。说实话SSLStrip是所有浏览器面临的更大威胁,可以与此重定向攻击一起使用。目前,Chrome以STS和Firefox的形式修复HTTPs Everywhere形式。使用noscript还有助于缓解此重定向攻击攻击。
答案 1 :(得分:1)
有一件事会阻止这类事情发生,two factor authentication使用类似RSA令牌的东西(不幸的是,这个国家只有一家银行提供此方法)。
RSA令牌是一个小的USB棒大小的小工具,它上面有一个不断变化的序列号/序列号,它会发给你(每个棒都有不同的数字序列)。当您登录银行的网站时,您必须提供日志/通行证,以及RSA令牌上的当前号码 - 该号码每两分钟更改一次。这意味着,如果坏人收集您的登录详细信息,他们在当前RSA序列号更改之前登录您的帐户的时间不到两分钟,并且捕获的登录详细信息将无法重复使用。
这个2因素身份验证不是灵丹妙药,我没有看到谷歌为您的随机Gmail帐户推出此功能,Facebook也不会。它应该是金融机构和在线政府部门的强制性,这将削减这种类型的攻击范围。它是远程访问公司网站门户和远程网络登录的常用保护机制,并且非常成功。
这仍然没有回答你的问题 - 作为网站作者或所有者你怎么能阻止这个?除非您不运行第三方脚本,否则您不能定期检查您的页面以确保您没有被入侵并插入了脚本。您永远不应该考虑尝试扫描任何第三方脚本,因为它们可能会被混淆到您无法扫描的令人难以置信的程度。如果您确实运行第三方脚本并对此感觉非常强烈,那么您可能需要设置一台机器,它所做的就是在您的网站上进行自动UI测试 - 设置一些基本测试并且只是简单易行让它每隔30或60分钟测试你的实时网站,寻找意想不到的结果。
答案 2 :(得分:0)
就像他建议的那样,使用密码管理器。如果每次都输入密码,可能会发生很多其他问题。对于密码管理器不起作用的站点,你被搞砸了。客户证书ftw。
答案 3 :(得分:0)
我刚刚访问了您提到的页面,我的免费病毒检查程序(AVG)立即检测到了威胁(我认为他在页面上有一个示例)并警告我有一个Tabnapping Exploit。
这是一个简单的可能性