モロ屋

アキバではたらくWebエンジニア。JavaScript / AWS / Mac

クリックジャッキングが危険すぎる件について

取り急ぎ、はまちちゃんの罠を見て作ってみた。制作10分くらい。

ページが見つかりませんでした | moroya.net

はてなユーザー以外でも危険性を体感できるように、ニコニコミュニティをターゲットにしてみました。



主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは

クリックジャッキングってこうですか? わかりません


この発想はいわれるまで気づかなかった・・・

ただ簡単にできてここまで危険なのはなかなかないですね。

とりあえずFireFox使いはNoScriptアドオンで対策するとしても、他のブラウザも早めに対策を入れて欲しいです。


Firefoxのアドオン「NoScript」にも、同様の機能が実装されている。

ただし、この機能は、Webサーバーの側で「X-FRAME-OPTIONS」というHTTPレスポンスヘッダーを指定することで、

コンテンツが外部サイト上のフレームに表示されることを拒否することが可能

サーバーサイドでも処理が必要になるなら、しばらく時間は掛かりそうですし・・・

入れても古いIEがほとんどのシェアを持つ現時点で、どこまで効力があるのか疑問です。


今回のサンプルは引っかかっても被害がないですが、

フォームを重ねればパスワードもクラックできますし、手法も簡単。かつJavaScript無効でも無意味というのは危ないですね。


やはり「見慣れないサイトに不用意に重要な情報を与えない」基本を見直す必要があるのでしょうか。

といっても、クリック一発で出来るのも恐ろしい。


一定の透明度を下回るとリンクが無効になるような仕組みが欲しいところです。