クリックジャッキングの仕組みと対策
1年以上前の記事です。内容が古い可能性があります。
以前話題にしたクリックジャッキングを実際行なっているサイトを見つけた。
まずは、デモを見てから行ってみたほうがいいと思う。
□YouTube – Webcam ClickJacking(デモ)
□Camera ClickJacking – The Game(実際のサイト)
上記動画とサイトのソースを見てみると、なんとなくクリックジャッキングの仕組みがわかってきた。
もちろん、それだけじゃないんだろうけど気づいたことを説明する。
ポイントとなるのは「透明」と「iframe」
まず、iframeタグををposition:absolute(絶対位置指定)で画面全体におき、その中に押させたいボタンのあるHTMLを読み込んでおく、
そしてそのiframe自体をz-indexで通常のHTMLより前に出し、CSSを使って透明化してしまうのだ。(z-index指定は必要ないかもしれない)
もちろん、他にも手法があるだろう(単純に透明ボタンを前に置くってのも可能ですよね)がこれでJavascriptを止めても意味のないクリックジャッキングのできあがりだ。
しごく簡単。
なお、上記サイトを紹介している記事に、クリックジャッキング対策がいくつか紹介されていた。
□アドビ、「Flash Player」の「クリックジャッキング」回避策を発表:ニュース – CNET Japan
AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施された Flash Playerのアップデートは10月中にリリースされる予定だという。
一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。
また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。
前も書いたけど、一番の防御策は変なサイトに行かないことです。
気をつけましょう。
アドセンス広告メイン
関連記事
-
ツイッター(Twitter)で他人のタイムライン(TL)が見れるように
1年以上前の記事です。内容が古い可能性があります。これはどうなんだろうなぁ。。 …
-
おすすめセキュリティソフトは?
1年以上前の記事です。内容が古い可能性があります。ニュース・特集-BCNランキン …
-
携帯SEO
1年以上前の記事です。内容が古い可能性があります。携帯サイトの依頼が来た。 しか …
-
Yahooが遂に新トップページを公開
1年以上前の記事です。内容が古い可能性があります。ベータ版ですがYahooが新ト …
-
FireFoxバージョンアップのバグ
1年以上前の記事です。内容が古い可能性があります。ちょっと前のバージョンアップ( …
-
全国共有電話帳アプリは個人情報保護法に反しないの?【Androidアプリ】
1年以上前の記事です。内容が古い可能性があります。なんか、凄いアプリがAndro …
-
次々と現れるネット界の脅威
1年以上前の記事です。内容が古い可能性があります。ウイルス対策なんて過去のもの、 …
-
「ネットヲチ」とはどんな意味?
1年以上前の記事です。内容が古い可能性があります。あるブログでよく使われている「 …
-
アイキャッチ画像のない記事にまとめてアイキャッチ画像が入れられる「Auto Post Thumbnail」【WordPressプラグイン】
1年以上前の記事です。内容が古い可能性があります。今回もブログ移転に関する記事で …
-
「Microsoft Security Essential」だけじゃ不安。アンチウイルスソフトランキング2012
1年以上前の記事です。内容が古い可能性があります。AV-TESTが行ったアンチウ …
- PREV
- ホリエモンのブログに「スリッパの法則」
- NEXT
- ビール(お酒)をやめてネットをしよう