クリックジャッキング   2008/09/29 (Mon)  11:45  [PC Life]

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

Javascriptを切っても駄目なブラウザの脅威について警告されています。Flashもこの対象に含まれています。
よく知られている基本的なブラウザについて、現状の最新版だろうと対策はなされておらず、防衛策はあやしいサイトは閲覧しないこと。この脅威についてのみ言えば、ブラウザ上であらゆるイベントを起こさない事。マウスを動かしても、キーを叩いても駄目なら何ができるかということはおいておくとして。ブラウザ動作の仕様に大きく関わる問題のため、個人的には、この問題を適切に修正するにはどうやるのか、という点に非常に興味があります。

ブラウザ上のリンクをコントロールすることができるという脅威で、単に意図しないリンク先へ飛ばすだけにとどまらず、埋め込まれれば任意のリンク先にフォームの内容を送信できたり、他の脅威と組み合わせれば色々できるかもしれないもの。

Not Clickjacking (Almost Certainly) にて検証コードのサンプルが示されています。ここのサンプルではマウスのクリックについて触れられていますが、少し修正すれば、マウスを動かすだけでも同じことが可能になります。簡単にできてしまうだけにちょっと困った問題です。

wikieditish message: Ready to edit this entry.