クリックジャッキングとは何?
1年以上前の記事です。内容が古い可能性があります。
今朝、通勤途中でJ-WAVEで聞いた言葉。さっそく検索してみる。
□クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告:ITpro
すべての主要なデスクトッププラットフォームに影響のある,新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは,Microsoft Internet Explorer,Mozilla Firefox,Apple Safari,Opera,そしてAdobe Flashだ。
Google Chromeが入っていないがおそらく出たばかりなので調べる時間がなかったのだろう。
つまりは、全ブラウザ(+Flash)に影響のある脆弱性のようだ。
この問題は確かにゼロデイ脆弱性で,すべてのブラウザに影響があり,しかもJavaScriptとは関係がないものだという。
この攻撃にはDHTMLを必要とする。
まず最初に疑ったのが、JavaScript(ActionScript)だったのだが、それとは関係がなくHTMLかブラウザのエンジンあたりの脆弱性をついた攻撃のようだ。
で、どういったことが行われるかというと。
一言で言えば,悪意のあるウェブサイトに訪れた際,攻撃者はブラウザ上のリンクをコントロールできるというものだ。
具体的には。
ウェブページにJavaScriptを組み込むこともできる
フォームを埋めるようなこともできてしまう。
ページ内のあらゆるリンクを強制的にクリックさせることができる。
しかも
これは,ブラウザの動作する仕組みに関わる根本的な欠陥で,簡単なパッチでは修正することができない。
とかなり深刻なようだ。
対策としては。
もし安全を確保したければ,lynxを使って動的なことは何もしないことだ。
lynxってのはテキストブラウザで、僕もユーザビリティを確認するときにたまに使っている。
□Lynx (ウェブブラウザ) – Wikipedia
ところが、ぶっちゃけlynxなんて使っていられない。
そこで、今のブラウザを安心して使い続けるためには
唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
これはこれで不便だ。
ただし、「ユーザーが悪意のあるウェブページを訪れると
」とあるのがせめてもの救い。
つまり、悪意のあるウェブページにさえ訪れなければ大丈夫みたいだ。
子どもによく「知らない人について行っちゃいけません」っていうけど、
ネットでも知らない人からのメールについて行っちゃいけない。
知らないページに安易に足を運ぶなってことです。
でもそんなこと言われてもねぇ。。
アドセンス広告メイン
関連記事
-
Safari
1年以上前の記事です。内容が古い可能性があります。G5についてる標準ブラウザのS …
-
うちわ祭とインターネット
1年以上前の記事です。内容が古い可能性があります。その他の「うちわ祭」関連記事& …
-
今、時代は猫。なのか?
1年以上前の記事です。内容が古い可能性があります。最近、巷で猫々騒がしい。
-
期せずして「ウイルス感染」表示が出たときはウイルスに感染していない
1年以上前の記事です。内容が古い可能性があります。と、言い切ってしまうのも問題あ …
-
SEOを突き詰める。
1年以上前の記事です。内容が古い可能性があります。最近、SEOをいろいろと勉強さ …
-
OAuthとOpenIDにセキュリティホール(脆弱性)、Facebookなどにも影響が
1年以上前の記事です。内容が古い可能性があります。世の中セキュリティホールありす …
-
サイト利用状況のアンケート
1年以上前の記事です。内容が古い可能性があります。社内でサイト利用状況のアンケー …
-
スマートフォンのパスコードロックは意味なし。iPhoneで3度め、GALAXYでも
1年以上前の記事です。内容が古い可能性があります。iPhoneの時はパスコードロ …
-
Google、livedoorに続け、Yahoo!も「Yahoo!ブックマーク」と「Yahoo!クリップ」を終了
1年以上前の記事です。内容が古い可能性があります。Googleとlivedoor …
-
SEOの今後
1年以上前の記事です。内容が古い可能性があります。トラバ先の記事を読んで思ったこ …
- PREV
- じゃあ共産党しかないじゃん。社民党。。ううむ。
- NEXT
- 直帰率と離脱率の違い
Comment
確かに怖い脆弱性ですね…現段階では不明ですが、最近SQLinjectionなんかで情報を改竄する手口が蔓延しているとニュースなんかでみたので、もし普段見ているWebサイトがSQLinjectionの脆弱性を抱えていて、レイアウトなんかが全く変わっていない改竄されたWebページにclickjacking攻撃が仕掛けられている場合をかんがえると、やはり公表されるまでNO scriptで対応せざる終えないのかなぁ……