クリックジャッキングとは何?
1年以上前の記事です。内容が古い可能性があります。
今朝、通勤途中でJ-WAVEで聞いた言葉。さっそく検索してみる。
□クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告:ITpro
すべての主要なデスクトッププラットフォームに影響のある,新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは,Microsoft Internet Explorer,Mozilla Firefox,Apple Safari,Opera,そしてAdobe Flashだ。
Google Chromeが入っていないがおそらく出たばかりなので調べる時間がなかったのだろう。
つまりは、全ブラウザ(+Flash)に影響のある脆弱性のようだ。
この問題は確かにゼロデイ脆弱性で,すべてのブラウザに影響があり,しかもJavaScriptとは関係がないものだという。
この攻撃にはDHTMLを必要とする。
まず最初に疑ったのが、JavaScript(ActionScript)だったのだが、それとは関係がなくHTMLかブラウザのエンジンあたりの脆弱性をついた攻撃のようだ。
で、どういったことが行われるかというと。
一言で言えば,悪意のあるウェブサイトに訪れた際,攻撃者はブラウザ上のリンクをコントロールできるというものだ。
具体的には。
ウェブページにJavaScriptを組み込むこともできる
フォームを埋めるようなこともできてしまう。
ページ内のあらゆるリンクを強制的にクリックさせることができる。
しかも
これは,ブラウザの動作する仕組みに関わる根本的な欠陥で,簡単なパッチでは修正することができない。
とかなり深刻なようだ。
対策としては。
もし安全を確保したければ,lynxを使って動的なことは何もしないことだ。
lynxってのはテキストブラウザで、僕もユーザビリティを確認するときにたまに使っている。
□Lynx (ウェブブラウザ) – Wikipedia
ところが、ぶっちゃけlynxなんて使っていられない。
そこで、今のブラウザを安心して使い続けるためには
唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。
これはこれで不便だ。
ただし、「ユーザーが悪意のあるウェブページを訪れると
」とあるのがせめてもの救い。
つまり、悪意のあるウェブページにさえ訪れなければ大丈夫みたいだ。
子どもによく「知らない人について行っちゃいけません」っていうけど、
ネットでも知らない人からのメールについて行っちゃいけない。
知らないページに安易に足を運ぶなってことです。
でもそんなこと言われてもねぇ。。
アドセンス広告メイン
関連記事
-
-
「イーセットスマートセキュリティ」更新と新規どちらが得か(7/2追記)
1年以上前の記事です。内容が古い可能性があります。先日、イーセットスマートセキュ …
-
-
とにかく書く(爆)
1年以上前の記事です。内容が古い可能性があります。今年の目標はPHPをものにする …
-
-
WordPress+Welcartでショッピングサイト構築【テーマ編】
1年以上前の記事です。内容が古い可能性があります。過去は振り返らない性格なので仕 …
-
-
9月のヒットキーワード及びヒットページ
1年以上前の記事です。内容が古い可能性があります。さて、9月のヒットキーワード及 …
-
-
SEOを突き詰める。
1年以上前の記事です。内容が古い可能性があります。最近、SEOをいろいろと勉強さ …
-
-
本買いました
1年以上前の記事です。内容が古い可能性があります。ポケットリファレンスシリーズの …
-
-
ハッキングの仕方
1年以上前の記事です。内容が古い可能性があります。攻撃方法を知ることで防御策を講 …
-
-
12時投稿で何か変わった?
1年以上前の記事です。内容が古い可能性があります。以前告知していた12時投稿を一 …
-
-
某スマートフォン系SNSの広告にFacebook(フェイスブック)に似せた変な奴がいる
先日、LINE(ライン)初め、スマートフォンがフィッシング詐欺に狙われ始めている旨、記事にしました。
その理由の一つとして、リンク先のURLがハッキリ分からないというのがありました。
今回、それに加えてまるでFacebook、さらにまるでセキュリティウインドウのような「広告」?に遭遇したのでご報告します。
あくまでも広告として紹介しますが、これはちょっとヤバい気がしますねぇ。。
アドウェア? マルウェア? スパイウェア?
赤で囲った部分が広告スペース。
どう見てもFacebookのインターフェースでDMが届いたと言っています。Facebookをやっている方であればこれは間違いなくタップしてしまうと思うんです。
仮に、今開いているサイトがEYELANDだとしても、自分はタップしてしまいました。
すると表示されるサイトが以下。
あんたのスマホは遅すぎるので、おすすめアプリをインストールして、お掃除しましょう。
ということのようですね。さすがにここで気付きました。
このサイトやべぇ。と。以下やべぇと思わせたポイントです。
- 日本語が変。
- クリック(タップ)を促す表示。
- URL表記が微妙。
ここでしっかりとURLが確認できればネットで調べてってこともできたんですけどね。
今回はもう、行っちゃったので行き先のURLを調べてドメインを検索してみました。
ただ、ネット等でドメインを調べてみると特に問題ないようなんですよねぇ。
□ globalmobilecenter.com safe website ? Check it nowさらにURLをメールでパソコンに転送。上記「今きれい」ボタンをクリックすると開くサイトのドメインも調べてみましたが同様でした。
□ imobidl.com safe website ? Check it nowマジアラートだったりして。。
もう、いっぱいいっぱいだもんなぁ。このスマホ。でも、マジだったとしてもこの広告はちょっと問題あるんじゃないかなぁと思いますね。
どう見てもFacebookそのものですもんね。
-
-
LINE(ライン)で既読を付けずにトークを読む「ちらみ」はキーロガー【Androidアプリ】
1年以上前の記事です。内容が古い可能性があります。まあ、ちゃんと告知しているので …
- PREV
- じゃあ共産党しかないじゃん。社民党。。ううむ。
- NEXT
- 直帰率と離脱率の違い
Comment
確かに怖い脆弱性ですね…現段階では不明ですが、最近SQLinjectionなんかで情報を改竄する手口が蔓延しているとニュースなんかでみたので、もし普段見ているWebサイトがSQLinjectionの脆弱性を抱えていて、レイアウトなんかが全く変わっていない改竄されたWebページにclickjacking攻撃が仕掛けられている場合をかんがえると、やはり公表されるまでNO scriptで対応せざる終えないのかなぁ……