クリックジャッキングの仕組みと対策
1年以上前の記事です。内容が古い可能性があります。
以前話題にしたクリックジャッキングを実際行なっているサイトを見つけた。
まずは、デモを見てから行ってみたほうがいいと思う。
□YouTube – Webcam ClickJacking(デモ)
□Camera ClickJacking – The Game(実際のサイト)
上記動画とサイトのソースを見てみると、なんとなくクリックジャッキングの仕組みがわかってきた。
もちろん、それだけじゃないんだろうけど気づいたことを説明する。
ポイントとなるのは「透明」と「iframe」
まず、iframeタグををposition:absolute(絶対位置指定)で画面全体におき、その中に押させたいボタンのあるHTMLを読み込んでおく、
そしてそのiframe自体をz-indexで通常のHTMLより前に出し、CSSを使って透明化してしまうのだ。(z-index指定は必要ないかもしれない)
もちろん、他にも手法があるだろう(単純に透明ボタンを前に置くってのも可能ですよね)がこれでJavascriptを止めても意味のないクリックジャッキングのできあがりだ。
しごく簡単。
なお、上記サイトを紹介している記事に、クリックジャッキング対策がいくつか紹介されていた。
□アドビ、「Flash Player」の「クリックジャッキング」回避策を発表:ニュース – CNET Japan
AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施された Flash Playerのアップデートは10月中にリリースされる予定だという。
一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。
また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。
前も書いたけど、一番の防御策は変なサイトに行かないことです。
気をつけましょう。
アドセンス広告メイン
関連記事
-
-
遂に出た!! ネット上のスタンプラリー
1年以上前の記事です。内容が古い可能性があります。かねてから個人的に提唱していた …
-
-
最近フィルタを通過するスパムが多い
1年以上前の記事です。内容が古い可能性があります。イーセットスマートセキュリティ …
-
-
使えない検索サイト「Dooggle」
1年以上前の記事です。内容が古い可能性があります。なんだか最近新しい検索サイトが …
-
-
エントリーって何?
1年以上前の記事です。内容が古い可能性があります。3月26日のエントリー「ブログ …
-
-
Web屋騒動に意見してみる
1年以上前の記事です。内容が古い可能性があります。ここ数日。Web屋に関する議論 …
-
-
今年最後の土曜出勤
1年以上前の記事です。内容が古い可能性があります。会社的に今年最後の土曜出社日で …
-
-
保護中: 花子に水着ズリ下ろされ小倉優子のマ○毛が見えちゃった放送事故!
この投稿はパスワードで保護されているため抜粋文はありません。
-
-
Web制作・管理でよく使うツール
1年以上前の記事です。内容が古い可能性があります。以前、紹介すると言っていたWe …
-
-
スパムメール撲滅大作戦
1年以上前の記事です。内容が古い可能性があります。最近、メールを処理したり、RS …
-
-
Facebook(フェイスブック)の連携アプリの公開範囲を変えてみた
1年以上前の記事です。内容が古い可能性があります。最近、予想通りFacebook …
- PREV
- ホリエモンのブログに「スリッパの法則」
- NEXT
- ビール(お酒)をやめてネットをしよう
