Clickjacking: nebezpečí číhající na uživatele webových aplikací

Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje:

Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje jinými prvky větší část iframe, až na jedno jediné tlačítko na doméně B, např. „Smazat vše“, „Přidej Boba jako svého přítele“ apod. Může přidat své rozhraní pro oklamání uživatele, který si myslí, že tlačítko patří do domény A a klikne na něj. Ačkoliv jsou uvedené příklady naivní, jedná se o jasný problém pro celou řadu moderních aplikací.

Michal popisuje možná řešení problému (např. pomocí HTTP hlaviček) a navrhuje začlenění některého z nich do specifikace HTML5. Editor specifikace Ian Hickson se o řešení plánuje poradit s výrobci prohlížečů. Zájemci o problematiku, nechť si přečtou celé vlákno konference.

Vystudoval jsem biochemii. Vymyslel jsem a založil Zdroják. Jsem vyhlášeným expertem na likvidaci komentářů. Nejsem váš hodný tatínek, který vás bude brát za ručičku, já jsem zlý moderátor diskusí. Smiřte se s tím!

Věděli jste, že nám můžete zasílat zprávičky? (Jen pro přihlášené.)

Komentáře: 14

Přehled komentářů

Hoween Nic nového
pingu Re: Nic nového
Georgo10 Re: Nic nového
edois Re: Nic nového
Sten Re: Nic nového
Sten Re: Nic nového
Martin Hassman Re: Nic nového
Martin Straka Re: Nic nového
Jan Pejša Re: Nic nového
repulsive chybička
.. Re: chybička
shMoula Re: chybička
majky8 Re: chybička
dodoedo NoScript
Zdroj: https://www.zdrojak.cz/?p=73