Firefox y NoScript vs Clickjacking

Traducido para Segu-Info por Raúl Batista.

En respuesta a mi relato anterior sobre la vulnerabilidad/amenaza de "clickjacking" de los navegadores, he recibido el siguiente e-mail de Giorgio Maone, el creador del popular plug-in para Firefox NoScript :

Hola Ryan,

He visto muchas especulaciones y confusion en los comentarios de tu artículo sobre el "Clickjacking" sobre que NoScript no sería capaz de mitigarlo [al problema].

Tuve acceso a información detallada sobre como funciona este ataque y puedo decirte lo siguiente:

1. Verdaderamente es de terror
2. NoScript en su configuración por defecto puede prevenir la mayoría de los escenarios posibles de ataques (por ejemplo los más prácticos efectivos y peligrosos) — vean de Jeremiah Grossman su propio comentario.
3. Para un 100% de protección de NoScript, necesita activar la opción “Plugins|Forbid

También recibí en privado, confirmación de alto nivel de una proveedor afectado sobre la verdadera severidad de este asunto. En resumen, me dijeron que efectivamente es “muy, pero muy terrible” y “ casi imposible” de arreglar de forma apropiada.

También se debería deshabilitar todo el scripting y plugins para evitar el ataque.

Tod Beardsley de BreakingPoint ha publicado unas pocas pruebas de concepto de la vulnerabilidad con especulaciones respecto del "clickjacking".

Autor: Ryan Naraine

Fuente:
http://blogs.zdnet.com/security/?p=1973&tag=nl.e539
http://www.breakingpointsystems.com/community/blog/clickjacking
http://www.cyberciti.biz/tips/firefox-stop-clickjacking-attack.html