AdobeやNoScriptからクリックジャッキング対策発表される 17
ストーリー by soara
設定変更推奨 部門より
設定変更推奨 部門より
あるAnonymous Coward 曰く、
ページ上に仕組まれたボタンなどをユーザの意図とは無関係にクリックさせる「クリックジャッキング」への対策がAdobeやNoScriptから発表された。(CNET Japan、本家/.より)
この攻撃の詳細情報はベンダーが対策を講じるまで伏せられていたが、今回Adobeが回避策を発表したことにより公表された。その攻撃手法はフレーム化されたコンテンツやFlash/Silverlight/Java等を使用したコンテンツなどでマウスポインタの下に透明なボタンのようなユーザには見えないものを配置し、ユーザにクリックさせるというというものだそうだ。この手法を用いてFlashのセキュリティ設定を変更しPCのカメラやマイクを乗っ取り、遠隔から操作する方法がGuy Aharonovsky氏のブログでデモ動画とともに紹介されている。
Adobeはこの問題を回避するため、Adobe Flash Playerの「グローバルプライバシー設定」を変更するよう推奨するSecurity Advisoryを発表しており、今月中にはこの問題に対応したアップデートをリリースするとのこと。また、NoScriptからは、隠された要素へのクリックを阻む「ClearClick」という機能が付け加えられた。 なお、クリックジャッキングの詳細やジェネリックコードはha.ckers.blogで公開されている。
すば洞 (スコア:3, 参考になる)
Flash濫用への警鐘 (スコア:0)
依存しすぎるのは危険ではないかと。
そのような危惧が具体的なかたちで表面化してきたのは感慨深いものがある。
いろいろな機能が埋め込まれた大企業の全面Flashサイトをうざいと思っていたが、あのような手法は悪用されると危険極まりないということか。
IFRAMEとの組み合わせ技で、悪意あるリンクを埋め込んだ全面透過Flashを呼び込む。
ポインター追尾機能を組み込んでおけば、悪意あるリンク先へ画面のどこでもクリック状態を作れることになるのか。
IFRAMEが無効ならユーザーが無意識のうちに勝手に悪意ある全面透過Flashが落ちてくる心配はないのか。
IFRAMEも以前からいろいろと悪用されていたが、表現技法が限られるにしてもプロのWEBデザイナーは使用を控えるべきなのであろうか。
いろいろと考えさせられる発言ですね、それ。
前回コメントする機会を逃したAC
何を考えさせられているのかよく分からない (スコア:0)
> そのような危惧が具体的なかたちで表面化してきたのは感慨深いものがある。
依存し過ぎる事は今回のUI脆弱性とは何の関係も無いですね。
> 全面Flashサイトをうざいと思っていたが、
> あのような手法は悪用されると危険極まりない
「全面Flash」と言う手法の悪用、ではないですよね。
> ポインター追尾機能を組み込んでおけば、
> 悪意あるリンク先へ画面のどこでもクリック状態を作れることになるのか。
マウスカーソルを追尾しなくても、
全面透過Flashが重ねられていれば「どこでもクリック状態」では?
> IFRAMEが無効ならユー
ジェネリックコード? (スコア:1, 興味深い)
Re:ジェネリックコード? (スコア:1, オフトピック)
List<String> = new List<String>();
とかが用いられているコードとか(必ず言語のジェネリック機能を用いる必要がある訳ではないけど)。
# 私もこういう文脈では初めてです。
Best regards, でぃーすけ
Re:ジェネリックコード? (スコア:3, 参考になる)
「ジェネリックコード」と書いた人はプログラミング言語でいう「ジェネリック」を意識してなかったんだと思います。
「ジェネリック医薬品」の「ジェネリック」に近い感覚ですかね?
神社でC#.NET
Re:ジェネリックコード? (スコア:2, 参考になる)
そうですね。一般的な(クリックジャックの)コードと訳せば良いのにと思います。と言う訳でボケてみたんですが...。今見たら「参考になる」とか付いていましたよ。orz...
「ジェネリック医薬品」の「ジェネリック」
こちらは、対義語は英語でbrand-name drugと言うように、(実際は言わないけど)その心はgeneric name drugなんですよね(日本語でも「一般名で処方される薬」というような説明がされているかと思います)。だから確かにgeneric自身は「一般的な」というこの文脈と同じ意味なんですが、医薬品がgenericだと言う意味ではないあたりがややこしいですね。
Best regards, でぃーすけ
Re:ジェネリックコード? (スコア:1, 参考になる)
とあったので、カタカナにしちゃったってのが妥当なところではないでしょうか。
# 釣られたね、わし
Re:ジェネリックコード? (スコア:1)
の、2a.
ジャッキングは下火 (スコア:1, 興味深い)
いろいろとリンクなどを仕込んでることが多いようです。
Re: (スコア:0)
このストーリーで言及されるクリックジャッキングより古い手法ですよね。
関係無い旨のコメントも付いていますが、モデレータ各位はどの様に読まれたのでしょう?
それとも、何の話をされているか把握されておられない?
Re: (スコア:0)
ま、今に始まったことじゃないけど。
これで対策は万全? (スコア:0)
でもCNETにあるリンク [hackademix.net]では、プラグインとIFRAMEの禁止で100%の対策と書いてる。
つーか、Firefox以外ではIFRAME禁止は必要ないの?
なにがなんだかわからない・・・
Re:これで対策は万全? (スコア:1)
根元から断ってるのでOKといった感じでは?
英語が苦手な人のだめに (スコア:0)
リンク先は英語ばっかだよorz
Re:英語が苦手な人のだめに (スコア:2, おもしろおかしい)