在第一次收到有关此问题的通知后十二年,Mozilla终于在本周发布了一个修复程序,该程序将防止滥用网站(通常是技术支持骗局的网站)通过不间断的“需要身份验证”登录弹出窗口来充斥用户,并阻止用户离开或关闭其浏览器。
该修复程序已在当前的Nightly版本的Firefox v68中提供,有时会在7月初到达浏览器的稳定版本。
根据Firefox工程师Johann Hofmann的说法,从Firefox 68开始,网页将不允许显示两个以上的登录提示。从第三个请求开始,Firefox将进行干预以禁止身份验证弹出窗口。
Mozilla先前已针对此问题提供了修复程序,但由于它阻止了源自子资源(例如iframe)的身份验证提示,因此该修复程序不完整。
此最新补丁通过阻止所有类型的身份验证所需提示(包括由站点主域生成的提示)来完成此修复程序。该贴片是继用户抱怨此功能在过去几年中被滥用多次[ 1,2,3,4,5,6,7 ]。
FIREFOX用户多次使用登录提示垃圾邮件作为目标
身份验证提示垃圾邮件(也称为登录提示垃圾邮件)在过去的二十年中一直是Internet用户所面临的问题。
技术支持诈骗网站已使用此技巧触发无限循环的“需要身份验证”提示,这些提示会阻止网站上的用户并阻止他们关闭选项卡或浏览器。
这个问题一直是一个问题,对于Chrome用户,而且更是对Firefox,有许多报告正在使用这一招,在过去的几年里[瞄准Firefox用户记录技术支持诈骗活动的1,2,3,4,5,6 ],以及最近的去年12月。
浏览器制造商一直在努力解决技术支持骗子团体利用的错误和漏洞。Mozilla即将发布的Firefox修复程序会有所帮助,但不会阻止技术支持骗子,后者会发现另一个可利用的技巧。
例如,过去,诈骗者使用过一些技巧,例如触发数千次下载来冻结用户的浏览器,创建JavaScript无限循环以将CPU保持在100%并阻止浏览器,或者使用自定义游标来抵消鼠标单击区域,并防止用户关闭选项卡。