新・元地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

自由な20代、窮屈な30代を経て、遂に40代になっちまったWebディレクター&パソコン講師の覚書と思う言(こと)。略称【ちほちゅう】

*

クリックジャッキングとは何?

   

  • このエントリーをはてなブックマークに追加

1年以上前の記事です。内容が古い可能性があります。

今朝、通勤途中でJ-WAVEで聞いた言葉。さっそく検索してみる。

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告:ITpro

すべての主要なデスクトッププラットフォームに影響のある,新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは,Microsoft Internet Explorer,Mozilla Firefox,Apple Safari,Opera,そしてAdobe Flashだ。

Google Chromeが入っていないがおそらく出たばかりなので調べる時間がなかったのだろう。
つまりは、全ブラウザ(+Flash)に影響のある脆弱性のようだ。

スポンサーリンク
 

この問題は確かにゼロデイ脆弱性で,すべてのブラウザに影響があり,しかもJavaScriptとは関係がないものだという。

この攻撃にはDHTMLを必要とする。

まず最初に疑ったのが、JavaScript(ActionScript)だったのだが、それとは関係がなくHTMLかブラウザのエンジンあたりの脆弱性をついた攻撃のようだ。

で、どういったことが行われるかというと。

 一言で言えば,悪意のあるウェブサイトに訪れた際,攻撃者はブラウザ上のリンクをコントロールできるというものだ。

具体的には。

ウェブページにJavaScriptを組み込むこともできる
フォームを埋めるようなこともできてしまう。
ページ内のあらゆるリンクを強制的にクリックさせることができる。

しかも

これは,ブラウザの動作する仕組みに関わる根本的な欠陥で,簡単なパッチでは修正することができない。

とかなり深刻なようだ。

対策としては。

もし安全を確保したければ,lynxを使って動的なことは何もしないことだ。

lynxってのはテキストブラウザで、僕もユーザビリティを確認するときにたまに使っている。
Lynx (ウェブブラウザ) – Wikipedia
ところが、ぶっちゃけlynxなんて使っていられない。
そこで、今のブラウザを安心して使い続けるためには

唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。

これはこれで不便だ。

ただし、「ユーザーが悪意のあるウェブページを訪れると」とあるのがせめてもの救い。
つまり、悪意のあるウェブページにさえ訪れなければ大丈夫みたいだ。
子どもによく「知らない人について行っちゃいけません」っていうけど、
ネットでも知らない人からのメールについて行っちゃいけない。
知らないページに安易に足を運ぶなってことです。
でもそんなこと言われてもねぇ。。

 - Webデザイン, セキュリティ

アドセンス広告メイン

Comment

  1. johnny より:

    確かに怖い脆弱性ですね…現段階では不明ですが、最近SQLinjectionなんかで情報を改竄する手口が蔓延しているとニュースなんかでみたので、もし普段見ているWebサイトがSQLinjectionの脆弱性を抱えていて、レイアウトなんかが全く変わっていない改竄されたWebページにclickjacking攻撃が仕掛けられている場合をかんがえると、やはり公表されるまでNO scriptで対応せざる終えないのかなぁ……

Message

メールアドレスが公開されることはありません。

  関連記事

勝手にインストールの更新プログラムに不具合。酷いよ「Windows 7」

1年以上前の記事です。内容が古い可能性があります。自分はタイミングが良かったのか …

Google+ページとWordPressを連携させた時、記事を一般公開設定にする方法

1年以上前の記事です。内容が古い可能性があります。今まで使っていたブログサービス …

期せずして「ウイルス感染」表示が出たときはウイルスに感染していない

1年以上前の記事です。内容が古い可能性があります。と、言い切ってしまうのも問題あ …

不況の原因はインターネットに同意

1年以上前の記事です。内容が古い可能性があります。誰もが思いながらも口に出せない …

no image
検索ワード順位アゲアゲ大作戦 #1

1年以上前の記事です。内容が古い可能性があります。会社のサイトで検索ワード順位が …

no image
Web屋騒動に意見してみる

1年以上前の記事です。内容が古い可能性があります。ここ数日。Web屋に関する議論 …

no image
印刷会社なのに。。

1年以上前の記事です。内容が古い可能性があります。印刷会社なのにWebをやらされ …

no image
Web制作に役立つブログ

1年以上前の記事です。内容が古い可能性があります。Web制作に役立つブログを紹介 …

なんと、「XPERIA AX」等一部のAndroidスマホに許可無く電話発信できる脆弱性

1年以上前の記事です。内容が古い可能性があります。もうね。近いうちに「iPhon …

「Google Play」でダウンロード、ワンクリック詐欺アプリに注意!

1年以上前の記事です。内容が古い可能性があります。相変わらずGoogleはこうい …

血液型オヤジ