クリックジャッキング

こちらの記事をあげた後、クリックジャッキングという攻撃(?)があることを知りました。
詳細はこちら『主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは』がわかりやすいです。

簡単にいうと、広告などの目的で他のサイトをWebページに貼り付けるのに使われるiframeを、opacity指定で透明にすることで、ユーザが目に見える表示とは別のサイトをクリックさせてしまう、という罠のことです。

先の記事で触れたIE8の(standardモードでインライン要素を透過できない、という)挙動はiframeでopacityを使えないようにするクリックジャッキング対策なのかとも思いましたが、divとかで囲っちゃえば結局透明になっちゃいますね。
(div+iframeでクリックジャックできることは動作確認しました。いちおう、ソースの公開は控えますが。)
まぁ、お手軽にiframeでopacityを使う攻撃者への対処にはなるでしょうが、それならspanとかは透明に出来てもいい気がするし、quirksモードでは透明になるので、クリックジャッキング対策としての挙動ではないでしょうね。

クリックジャッキングの対策についてはこちらの文書に詳細が記載されています。
JPCERT/CC「技術メモ - クリックジャッキング対策 X-FRAME-OPTIONS について」

上記の文書では、Web制作者側の対策として、
JavaScriptで”if (window.top != window.self)”のような判定をしたり、
HTML文書のヘッダで、”<meta http-equiv=”X-FRAME-OPTIONS” content=”DENY” />”という記述を追加したりといったことが挙げられています。

閲覧者側の対策は上記文書のほかにも、ネット上でいろいろ議論されていますが、本質的な対策はないようです。
「404 Blog Not Found:javascript – クリックジャック殺しなbookmarklet」
「Operaのクリックジャッキング対策を考えてみたよ」

結局のところ現時点では、ユーザが意識的にこういう罠に気をつけるのがベストなようなので、

・怪しいサイト(思わずクリックしてみたくなるようなものは特に)では安易にクリックしない
・ショッピングサイトやWebメールなどログインが必要なサイトを利用した後は必ずログアウトする
・ショッピングサイトなどにログインしている最中も、別のウィンドウやタブで別のWebサイトを操作することは極力控える

といったことを心がけてください。
※こういう罠があるから、というわけでなく、ユーザの心得として常にこれらを守ることをお勧めします。

今の時期、夏休みの方も多いと思いますが、お休みの間、余計な罠にはまらないようご注意ください。

Share on FacebookTweet about this on TwitterShare on Google+Share on TumblrEmail this to someonePrint this page

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*