クリックジャッキングとは何?
1年以上前の記事です。内容が古い可能性があります。
今朝、通勤途中でJ-WAVEで聞いた言葉。さっそく検索してみる。
□クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告:ITpro
すべての主要なデスクトッププラットフォームに影響のある,新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは,Microsoft Internet Explorer,Mozilla Firefox,Apple Safari,Opera,そしてAdobe Flashだ。
Google Chromeが入っていないがおそらく出たばかりなので調べる時間がなかったのだろう。
つまりは、全ブラウザ(+Flash)に影響のある脆弱性のようだ。
この問題は確かにゼロデイ脆弱性で,すべてのブラウザに影響があり,しかもJavaScriptとは関係がないものだという。
この攻撃にはDHTMLを必要とする。
まず最初に疑ったのが、JavaScript(ActionScript)だったのだが、それとは関係がなくHTMLかブラウザのエンジンあたりの脆弱性をついた攻撃のようだ。
で、どういったことが行われるかというと。
一言で言えば,悪意のあるウェブサイトに訪れた際,攻撃者はブラウザ上のリンクをコントロールできるというものだ。
具体的には。
ウェブページにJavaScriptを組み込むこともできる
フォームを埋めるようなこともできてしまう。
ページ内のあらゆるリンクを強制的にクリックさせることができる。
しかも
これは,ブラウザの動作する仕組みに関わる根本的な欠陥で,簡単なパッチでは修正することができない。
とかなり深刻なようだ。
対策としては。
もし安全を確保したければ,lynxを使って動的なことは何もしないことだ。
lynxってのはテキストブラウザで、僕もユーザビリティを確認するときにたまに使っている。
□Lynx (ウェブブラウザ) – Wikipedia
ところが、ぶっちゃけlynxなんて使っていられない。
そこで、今のブラウザを安心して使い続けるためには
唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
これはこれで不便だ。
ただし、「ユーザーが悪意のあるウェブページを訪れると
」とあるのがせめてもの救い。
つまり、悪意のあるウェブページにさえ訪れなければ大丈夫みたいだ。
子どもによく「知らない人について行っちゃいけません」っていうけど、
ネットでも知らない人からのメールについて行っちゃいけない。
知らないページに安易に足を運ぶなってことです。
でもそんなこと言われてもねぇ。。
アドセンス広告メイン
関連記事
-
殆どのスマホユーザーの個人情報はFacebookに握られている
そう、それがシャドープロファイルと言われているものです。
そして怖いのはこのシャドープロファイル、Facebookアカウントを作ったことのない人のものまで作られているとのことです。あるFacebookユーザーの連絡先にあなたの個人情報が書かれていたら注意。
その方がFacebookに連絡先へのアクセスを許可していたらあなたがFacebookをやっていなくてもアウトです。ではどうやったら防げるのか?
最近ではFacebookアプリがプリインストールされているスマホ(スマートフォン)も多いのでほぼ防ぐことは不可能でしょうね。つまり、
過去にFacebookのアカウントを作ったことがなく、Facebookを利用している人とアドレスなどの交換をしていないという場合のみ「あなたのシャドープロファイルは作られていません」
とのこと。
Facebookのアカウントを作ったことがない人は結構いるんじゃないかと思います。
ただ、Facebookを利用している人とアドレス交換をしていない人なんて殆どいないんじゃないでしょうか?
そもそも、その人がFacebookをやっているのかどうか調べてアドレス交換するなんてことできないでしょうし。。これから、こういった情報が一般的になってくると、自分のようにFacebookやってる感を前面に出している人なんかは逆に、嫌厭されてしまうような時代がきてしまうのかもしれません。
でもね。
結局は架空請求や先日被害にあった債権回収詐欺等、それを使う悪いやつがいなければ別に個人情報何ら問題ないんですよね。
だって、かつては電話帳(ハローページ)に普通に電話番号が載っていた時代があるんですから。
嫌な時代になっちゃいましたねぇ。。あとはFacebookの技術を信じて、そういった悪い輩に個人情報が流れないようにしてもらうしかないですね。
よく、「あとは神のみぞ知る」なんてこと言うことがありますが、Facebookもそういう意味では神の領域に入りつつあるのでしょうか?
人間が神の領域に足を踏み入れるとどうなってしまうのか? 注目して行きましょう。
-
Safari(javascriptのバグ?)
1年以上前の記事です。内容が古い可能性があります。またまた「safari」に関し …
-
Eee Boxがウイルス入りで出荷
1年以上前の記事です。内容が古い可能性があります。Eee Boxがウイルス入りで …
-
自分のサイト表示がブラウザごとに確認(チェック)できるサイト「browserling」
1年以上前の記事です。内容が古い可能性があります。Web制作する際に困るのが表示 …
-
ツイッターのツイートはURL偽装ができる
1年以上前の記事です。内容が古い可能性があります。偽装ったってURL偽装です。ア …
-
ブログのメニューにCSS3の「box-shadow」プロパティでドロップシャドウを付けてみた【Webデザイン】
1年以上前の記事です。内容が古い可能性があります。そろそろCSS3を初めてみよう …
-
「McAfeeサイトアドバイザ」をツールバーから消す方法
1年以上前の記事です。内容が古い可能性があります。狭いネットブックのデスクトップ …
-
なんか色々やばい。iOS7はパスコードを設定しないとパスワード、クレジットカード番号等が丸見え【iPhone】
1年以上前の記事です。内容が古い可能性があります。先日、「iOS 7」にパスコー …
-
近況報告
1年以上前の記事です。内容が古い可能性があります。Webチームは着々と成長してお …
-
Webデザイナーピンチ!!15分でサイトが作れる「みんなのビジネスオンライン」
1年以上前の記事です。内容が古い可能性があります。中小企業経営者にとっては朗報、 …
- PREV
- じゃあ共産党しかないじゃん。社民党。。ううむ。
- NEXT
- 直帰率と離脱率の違い
Comment
確かに怖い脆弱性ですね…現段階では不明ですが、最近SQLinjectionなんかで情報を改竄する手口が蔓延しているとニュースなんかでみたので、もし普段見ているWebサイトがSQLinjectionの脆弱性を抱えていて、レイアウトなんかが全く変わっていない改竄されたWebページにclickjacking攻撃が仕掛けられている場合をかんがえると、やはり公表されるまでNO scriptで対応せざる終えないのかなぁ……