パスワードを忘れた? アカウント作成
37516 story

AdobeやNoScriptからクリックジャッキング対策発表される 17

ストーリー by soara
設定変更推奨 部門より

あるAnonymous Coward 曰く、

ページ上に仕組まれたボタンなどをユーザの意図とは無関係にクリックさせる「クリックジャッキング」への対策がAdobeやNoScriptから発表された。(CNET Japan本家/.より)

この攻撃の詳細情報はベンダーが対策を講じるまで伏せられていたが、今回Adobeが回避策を発表したことにより公表された。その攻撃手法はフレーム化されたコンテンツやFlash/Silverlight/Java等を使用したコンテンツなどでマウスポインタの下に透明なボタンのようなユーザには見えないものを配置し、ユーザにクリックさせるというというものだそうだ。この手法を用いてFlashのセキュリティ設定を変更しPCのカメラやマイクを乗っ取り、遠隔から操作する方法がGuy Aharonovsky氏のブログデモ動画とともに紹介されている。

Adobeはこの問題を回避するため、Adobe Flash Playerの「グローバルプライバシー設定」を変更するよう推奨するSecurity Advisoryを発表しており、今月中にはこの問題に対応したアップデートをリリースするとのこと。また、NoScriptからは、隠された要素へのクリックを阻む「ClearClick」という機能が付け加えられた。 なお、クリックジャッキングの詳細やジェネリックコードはha.ckers.blogで公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • すば洞 (スコア:3, 参考になる)

    by ikotom (20155) on 2008年10月14日 10時43分 (#1436739)
    関連スレのACさんのコメント#1427328 [srad.jp]が「すば洞」ってことでFA?
    • by Anonymous Coward
      Flashはいろいろな表現や動作が可能で、WEBサイトを構築する側には便利ではあるけれど、何かと危険性も高いのではないかとは言われていた。
      依存しすぎるのは危険ではないかと。
      そのような危惧が具体的なかたちで表面化してきたのは感慨深いものがある。

      いろいろな機能が埋め込まれた大企業の全面Flashサイトをうざいと思っていたが、あのような手法は悪用されると危険極まりないということか。
      IFRAMEとの組み合わせ技で、悪意あるリンクを埋め込んだ全面透過Flashを呼び込む。
      ポインター追尾機能を組み込んでおけば、悪意あるリンク先へ画面のどこでもクリック状態を作れることになるのか。
      IFRAMEが無効ならユーザーが無意識のうちに勝手に悪意ある全面透過Flashが落ちてくる心配はないのか。
      IFRAMEも以前からいろいろと悪用されていたが、表現技法が限られるにしてもプロのWEBデザイナーは使用を控えるべきなのであろうか。

      いろいろと考えさせられる発言ですね、それ。
      前回コメントする機会を逃したAC
      • > 依存しすぎるのは危険ではないかと。
        > そのような危惧が具体的なかたちで表面化してきたのは感慨深いものがある。

        依存し過ぎる事は今回のUI脆弱性とは何の関係も無いですね。

        > 全面Flashサイトをうざいと思っていたが、
        > あのような手法は悪用されると危険極まりない

        「全面Flash」と言う手法の悪用、ではないですよね。

        > ポインター追尾機能を組み込んでおけば、
        > 悪意あるリンク先へ画面のどこでもクリック状態を作れることになるのか。

        マウスカーソルを追尾しなくても、
        全面透過Flashが重ねられていれば「どこでもクリック状態」では?

        > IFRAMEが無効ならユー
  • by Anonymous Coward on 2008年10月14日 9時51分 (#1436729)
    「ジェネリックコード」って何ですか?初めて聞きました。
    • by Deasuke (34806) on 2008年10月14日 10時14分 (#1436736) 日記
      >「ジェネリックコード」って何ですか?

      List<String> = new List<String>();
      とかが用いられているコードとか(必ず言語のジェネリック機能を用いる必要がある訳ではないけど)。

      # 私もこういう文脈では初めてです。
      --
      Best regards, でぃーすけ
      親コメント
      • by n_ayase (36873) on 2008年10月14日 10時32分 (#1436738) ホームページ 日記
        JavaやらC#やらにある「ジェネリック」ではなく「一般向けの」という意味合いのようですね。
        「ジェネリックコード」と書いた人はプログラミング言語でいう「ジェネリック」を意識してなかったんだと思います。

        「ジェネリック医薬品」の「ジェネリック」に近い感覚ですかね?
        --
        神社でC#.NET
        親コメント
        • by Deasuke (34806) on 2008年10月14日 11時56分 (#1436762) 日記
          > JavaやらC#やらにある「ジェネリック」ではなく「一般向けの」という意味合いのようですね。
          そうですね。一般的な(クリックジャックの)コードと訳せば良いのにと思います。と言う訳でボケてみたんですが...。今見たら「参考になる」とか付いていましたよ。orz...

          「ジェネリック医薬品」の「ジェネリック」
          こちらは、対義語は英語でbrand-name drugと言うように、(実際は言わないけど)その心はgeneric name drugなんですよね(日本語でも「一般名で処方される薬」というような説明がされているかと思います)。だから確かにgeneric自身は「一般的な」というこの文脈と同じ意味なんですが、医薬品がgenericだと言う意味ではないあたりがややこしいですね。
          --
          Best regards, でぃーすけ
          親コメント
        • by Anonymous Coward on 2008年10月14日 10時50分 (#1436742)
          リンク先のha.ckers.blogに

          Source to generic clickjacking code available here.

          とあったので、カタカナにしちゃったってのが妥当なところではないでしょうか。

          # 釣られたね、わし
          親コメント
  • by Anonymous Coward on 2008年10月14日 10時45分 (#1436740)
    最近は別フレームから表示される偽レイヤー広告の閉じるボタンに
    いろいろとリンクなどを仕込んでることが多いようです。
    • by Anonymous Coward
      「最近は」との事ですが、
      このストーリーで言及されるクリックジャッキングより古い手法ですよね。
      関係無い旨のコメントも付いていますが、モデレータ各位はどの様に読まれたのでしょう?

      それとも、何の話をされているか把握されておられない?
      • by Anonymous Coward
        モデレータのレベルの低さを露呈しただけだね。
        ま、今に始まったことじゃないけど。
  • by Anonymous Coward on 2008年10月14日 12時32分 (#1436771)
    タレコミのha.ckers.blogを見ると、未解決問題がいっぱい残ってるように見えるし。
    でもCNETにあるリンク [hackademix.net]では、プラグインとIFRAMEの禁止で100%の対策と書いてる。
    つーか、Firefox以外ではIFRAME禁止は必要ないの?
    なにがなんだかわからない・・・
  • by Anonymous Coward on 2008年10月14日 12時34分 (#1436773)
    クリックジャック攻撃の防ぎ方を解説した日本語のWEBページが欲しい。
    リンク先は英語ばっかだよorz
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...