新・元地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

自由な20代、窮屈な30代を経て、遂に40代になっちまったWebディレクター&パソコン講師の覚書と思う言(こと)。略称【ちほちゅう】

*

クリックジャッキングの仕組みと対策

   

  • このエントリーをはてなブックマークに追加

1年以上前の記事です。内容が古い可能性があります。

以前話題にしたクリックジャッキングを実際行なっているサイトを見つけた。
まずは、デモを見てから行ってみたほうがいいと思う。
YouTube – Webcam ClickJacking(デモ)
Camera ClickJacking – The Game(実際のサイト)
上記動画とサイトのソースを見てみると、なんとなくクリックジャッキングの仕組みがわかってきた。
もちろん、それだけじゃないんだろうけど気づいたことを説明する。

スポンサーリンク
 


ポイントとなるのは「透明」と「iframe」
まず、iframeタグををposition:absolute(絶対位置指定)で画面全体におき、その中に押させたいボタンのあるHTMLを読み込んでおく、
そしてそのiframe自体をz-indexで通常のHTMLより前に出し、CSSを使って透明化してしまうのだ。(z-index指定は必要ないかもしれない)
もちろん、他にも手法があるだろう(単純に透明ボタンを前に置くってのも可能ですよね)がこれでJavascriptを止めても意味のないクリックジャッキングのできあがりだ。
しごく簡単。

なお、上記サイトを紹介している記事に、クリックジャッキング対策がいくつか紹介されていた。
アドビ、「Flash Player」の「クリックジャッキング」回避策を発表:ニュース – CNET Japan

 AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施された Flash Playerのアップデートは10月中にリリースされる予定だという。
 一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。
 また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。

前も書いたけど、一番の防御策は変なサイトに行かないことです。
気をつけましょう。

 - Webデザイン, セキュリティ

アドセンス広告メイン

Message

メールアドレスが公開されることはありません。

  関連記事

「ネットヲチ」とはどんな意味?

1年以上前の記事です。内容が古い可能性があります。あるブログでよく使われている「 …

今、時代は猫。なのか?

1年以上前の記事です。内容が古い可能性があります。最近、巷で猫々騒がしい。

mixi年賀状。住所入力は慎重に

1年以上前の記事です。内容が古い可能性があります。mixi年賀状はmixi上でお …

イーセットスマートセキュリティで弾けないスパム

1年以上前の記事です。内容が古い可能性があります。イーセットスマートセキュリティ …

no image
最も原始的なSEO対策

1年以上前の記事です。内容が古い可能性があります。最も原始的なSEOを進行中なの …

no image
昨日の続き

1年以上前の記事です。内容が古い可能性があります。と、いうことで、 いろいろ見て …

プロフ+リアルで人生破綻への道

1年以上前の記事です。内容が古い可能性があります。ちょっと前から気にはなっていた …

no image
やられた!ある意味「秀逸」な迷惑メール

1年以上前の記事です。内容が古い可能性があります。コラブロさん「ネタのタネ」第3 …

Apple(アップル)、「App Store」で配布された「XcodeGhost」感染アプリ25本を公表

1年以上前の記事です。内容が古い可能性があります。こちらの続報です。 もともとは …

「Internet Explorer 6」はまだ結構使われている

1年以上前の記事です。内容が古い可能性があります。株式会社サムライファクトリーか …

血液型オヤジ