クリックジャッキングの仕組みと対策
1年以上前の記事です。内容が古い可能性があります。
以前話題にしたクリックジャッキングを実際行なっているサイトを見つけた。
まずは、デモを見てから行ってみたほうがいいと思う。
□YouTube – Webcam ClickJacking(デモ)
□Camera ClickJacking – The Game(実際のサイト)
上記動画とサイトのソースを見てみると、なんとなくクリックジャッキングの仕組みがわかってきた。
もちろん、それだけじゃないんだろうけど気づいたことを説明する。
ポイントとなるのは「透明」と「iframe」
まず、iframeタグををposition:absolute(絶対位置指定)で画面全体におき、その中に押させたいボタンのあるHTMLを読み込んでおく、
そしてそのiframe自体をz-indexで通常のHTMLより前に出し、CSSを使って透明化してしまうのだ。(z-index指定は必要ないかもしれない)
もちろん、他にも手法があるだろう(単純に透明ボタンを前に置くってのも可能ですよね)がこれでJavascriptを止めても意味のないクリックジャッキングのできあがりだ。
しごく簡単。
なお、上記サイトを紹介している記事に、クリックジャッキング対策がいくつか紹介されていた。
□アドビ、「Flash Player」の「クリックジャッキング」回避策を発表:ニュース – CNET Japan
AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施された Flash Playerのアップデートは10月中にリリースされる予定だという。
一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。
また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。
前も書いたけど、一番の防御策は変なサイトに行かないことです。
気をつけましょう。
アドセンス広告メイン
関連記事
-
カスペルスキーが推奨するiPhoneのセキュリティを強化する10の対策
1年以上前の記事です。内容が古い可能性があります。セキュリティソフトとして優秀な …
-
ツイッター(Twitter)、メール、SMS、MMS等でパスワードリセットが可能に
1年以上前の記事です。内容が古い可能性があります。未だ日々進化しているツイッター …
-
モバイルWi-Fiルーターは電源(電池)が切れると設定も初期化するの?
1年以上前の記事です。内容が古い可能性があります。先日よりWiMAXのモバイルW …
-
DTP、Webデザインを勉強するのにおススメのテキスト【書評】
1年以上前の記事です。内容が古い可能性があります。職業訓練校で講師をやっていた経 …
-
gumiをやっている人は個人情報に注意しよう
1年以上前の記事です。内容が古い可能性があります。SNSをやっていると、そこだけ …
-
FireworksのHTML書き出し方法
1年以上前の記事です。内容が古い可能性があります。今となっては昔の話ですが、Fi …
-
iPhoneの写真データから位置情報を取り除く方法
1年以上前の記事です。内容が古い可能性があります。先日、Flickrの地図表示が …
-
アクセスランキング
1年以上前の記事です。内容が古い可能性があります。最近、googleのアクセスラ …
-
プロキシいらずのIPアドレス偽装アプリ「spotflux」(今なら無料)
1年以上前の記事です。内容が古い可能性があります。これは究極の個人情報保護アプリ …
-
Web制作に役立つブログ
1年以上前の記事です。内容が古い可能性があります。Web制作に役立つブログを紹介 …
- PREV
- ホリエモンのブログに「スリッパの法則」
- NEXT
- ビール(お酒)をやめてネットをしよう