Аза Раскин (Aza
Raskin), один из разработчиков Mozilla Firefox, рассказал о новом типе атак против всех браузеров, которую он назвал "tabnapping"
(буквально - забыл про вкладку).
Суть атаки заключается в том, что когда пользователь отвлекшись
от просмотра текущей веб-страницы осуществляет переход на другую (это
событие нетрудно зафиксировать с помощью JavaScript), предыдущий
веб-сайт подменяет в своей вкладке иконку, заголовок и содержимое на
контент, напоминающий какой-нибудь популярный сайт, требующий ввода
данных пользователя (пароля, имени, номера кредитной карты и т.д.). Со
стороны пользователя всё выглядит так, что при возврате на старую
вкладку или страницу, вы оказываетесь на сайте, который требует
авторизации (например, из-за разрыва сессии, как это часто делает
Gmail), и, не обращая внимания на URL страницы, вы без боязни вводите
туда свои данные, тем самым передавая их в руки мошенника.
Атака, естественно, основана на невнимательности пользователей и
уверенности в том, что иконку сайта, его заголовок и содержимое никто
без вашего ведома не мог заменить. Самый простой способ защиты - это
проверка URL страницы вкладки, на которую вы возвращаетесь,
использование SSL для важных сайтов и использование, например,
расширения Mozilla Firefox NoScipt, которое по умолчанию запрещает
использование JavaScript на новых, незнакомых сайтах.