Clickjacking – zagrożenie dla użytkowników wszystkich przeglądarek?

Clickjacking to technika ataku, na którą odporny jest tylko tekstowy lynx. Cyberprzestepca może sprawić, że gdy tylko w przeglądarce otwarta zostanie odpowiednio spreparowana strona, dojdzie do kliknięcia dowolnego na niej obiektu, mimo że użytkownik nic nie będzie o tym wiedział. To „fundamentalny błąd w sposobie, w jaki przeglądarka działa”.

tajemnica z dodany: 26.09.2008, 06:27:24

Komentarze (50)

najlepsze

pepies

26.09.2008, 11:38:08

przesiądźmy siię na lynx'a albo links'a! obrazki są dla lamerów!

co za bezsens :P

valdo

26.09.2008, 15:13:22

ja już się przesiadłem na modem 28 kb/s żeby ewentualnego włamywacza krew zalała jak będzie próbował pobrać moje dane :)

kabzior

26.09.2008, 16:14:44

przesiądźmy siię na lynx'a albo links'a! obrazki są dla lamerów!

Dopiero co był wykop o ascii pr0n więc nic straconego ;D

viptv_pl

27.09.2008, 16:14:23

napsali ze jest cos o czym nie moga pisac

theobserver

26.09.2008, 09:37:13

Webhosting - zawsze na czasie.

Oryginał sprzed DWÓCH TYGODNI:

http://ha.ckers.org/blog/20080915/clickjacking/

I

ula1980

26.09.2008, 09:49:51

theobserver - konto założone tylko po to, by srać na jakiś serwis.

Komentarze tego "człowieka":

http://www.wykop.pl/ludzie/theobserver/linki/komentowane

I

tajemnica

26.09.2008, 10:02:09

no i wygląda na to, że to co pisze w serwisach które podałeś, jest niezbyt treściwe w porównaniu do tego co wczoraj napisano w blogu ZeroDay zdnetu i skąd webhostingi zaczerpnęły tę informację. czytałeś w ogóle to, co pisze w linkach, które tu wklejasz?

novastar

26.09.2008, 19:25:02

Zakopuję bo de facto artykuł o niczym. Rozumiem, że jest jakieś zagrożenie, ale artykuł o nim nie podaje żadnych informacji, więc sieje jedynie panikę. Rozumiem, że na razie informacja dot. luki jest poufna, ale po co w takim razie jest ten artykuł.

Artykuł na zasadzie "Unikajcie tosterów, są poważnym zagrożeniem. Ale jakim zagrożeniem to nie mogę zdradzić".

muusk85

26.09.2008, 10:45:41

Zatem w jaki sposób ma to wygladac? Osadzanie w kodzie zródłowym strony pływającej ramki czy tworzenie linka którego nazwa nie odpowiada stronie na która przekierowuje. : ] Niestety podczas uzytkowania komputera z internetem tak samo jak samochodu przydałaby sie inteligencja i wiedza. Moze powinno sie wprowadzić internetowe prawo jazdy ;) Albo zrobić jakąs stronę (chyba ze juz taka jest) która informuje przystępnie i rzeczowo początkujących o zagrożeniach.

M.....2

konto usunięte 26.09.2008, 23:20:02

Podali już zbyt wiele informacji o clickjacking'u. Można znaleźć już informacje w sieci o tym i jak ktoś chce znaleźć to i tak znajdzie więc napisze. Tworzysz "link", który w rzeczywistości jest zwykłym tekstem, umieszczasz go np. css'em w odpowiednim miejscu. Tworzysz iframe z maksymalną przezroczystością lub odpowiednim stylem css. I gdy chcesz kliknąć na "link" tak naprawdę twoje kliknięcie trafia do iframa, którego nie widzisz.

Ogólnie to chyba wystarczy możliwości wyłączenia

jeanpaul

26.09.2008, 20:37:42

Treść przeznaczona dla osób powyżej 18 roku życia...

Speed666

26.09.2008, 19:14:37

Ja to widzę tak? Np. strona ktora zlicza jakieś głosy - bierzemy URL i robimy tak iframe src="urltejstrony" width=0 height=0 (sorry że tak ale mi wykop filtruje)

i wklejamy do kodu HTML. User się nawet nie zorientuje że właśnie jego odwiedziny nabiły komuś licznik. To pewnie jest fundament tego exploit'a.

reveal_the_truth

26.09.2008, 19:09:57

Podejrzewam (po wskazówce autora NoScripta dotyczącej iframe'ów), że chodzi o sytuacje, gdy strona znajdująca się w ramce chce "dobrać się" do treści strony w której się znajduje i podmienić, np.: miejsce docelowe hiperłączą. Takie coś jest możliwe wykorzystując choćby odwołanie do window.parent albo window.top.Co prawda do takich rzeczy potrzeba JavaScriptu, a artykuł mówi o tym, że błąd nie polega na zastosowaniu JavaScriptu, wydaje się jednak, że strona nie wykorzystująca żadnych skryptów

sfah

26.09.2008, 15:23:02

Próbuję, próbuję i nie mogę zrozumieć serio. Mógłby ktoś to wytłumaczyć dla laika?

modrzew

26.09.2008, 15:26:50

"Odkryto poważne zagrożenie, które jest poważne i które jest groźne. Nie można go w żaden sposób obejść, takie jest groźne. I poważne. Może wyrządzić poważne szkody, które będą poważne, i dlatego to zagrożenie jest takie poważne i groźne."

Coś w ten deseń. Przypomina mi to przemówienia byłego premiera nt. "układu".

northrop

26.09.2008, 16:33:45

Clickjacking jest wtedy gdy szef wchodzi do biura i widzi, że zamiast excela masz zdjęcia pań bez odzieży na ekranie. A Ty wcale na to nie wchodziłeś. Clickjacking.

jakup

26.09.2008, 13:57:55

I say "tend to" because if you're a super-fast clicker, the click event will complete before the submit() action is exercised.

fajnie wiedzieć, że jestem super-fast clickerem ;)

Clickjacking – zagrożenie dla użytkowników wszystkich przeglądarek?

Hity

Samolot F16 rozbił sie przed pokazami AirShow w Radomiu

O złodzieju czapki z Polski piszą już nawet media w USA.

Firma złodzieja czapeczki z US Open dostałą ponad 12 mln zł w dotacjach!

Typ kradnie dzieciakowi czapkę

Sąd skazuje pieszego za utrudnianie jazdy po chodniku

Powiązane tagi