クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告

文：Ryan Naraine（Special to ZDNet.com） 翻訳校正：石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm

[minotiiku]

ページ全体に透明なFlashを貼り付けて云々。

[trick1]

これはすぐ直してほしい・・・と言ってもなぁ

[janus_wel]

click jacking という名前と lynx は関係ないという情報からしてマウスを握らなければ問題ないってこと ? まだ情報が少ないね

[raitu]

詳細がいまいち分からないが//一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。//

[h_aruga]

詳細不明

[nitoyon]

詳細まだ不明。「アドレスバーを信じる」でも対処できない問題なのかな。（関連推測）http://slashdot.jp/security/comments.pl?sid=420319&cid=1427328

[kiichan1115]

なんとおそろしい…＞＜

[spade9970]

関連：http://slashdot.jp/security/article.pl?sid=08/09/27/0419211

[ka-wara]

詳細が判らず何とも言えない→追記、詳細(を推測した)情報発見 http://slashdot.jp/security/08/09/27/0419211.shtml http://slashdot.jp/security/comments.pl?sid=420319&cid=1427328

[sankaseki]

クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告 - Zero Day - ZDNet Japan

[potD]

何だか大変なことになっている模様。とりあえず今できることは何もなさげ。

[jumitaka]

どうなるんだろう

[polyamid]

なんというGoogle Chromeのアタックチャンス

[hazime2914]

クリック？Vimperatorは関係あるんですか？

[tsupo]

当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ → 「JavaScript に無関係」なんだったら、全然対策になってないと思う。有効な対策は Lynx を使うか、Web を見ないこと

[t-tanaka]

まあ，こういう穴もあるだろうな。今日のようにブラウザが高機能になってしまうと，「どこかの画面を表示すること」は「相手の提供したプログラムを実行すること」と同等になってしまっている。

[betelgeuse]

「ユーザーが一度クリックするたびに、1回クリックジャッキングを起こすことができるので」クリックした情報がどう伝わるのかなんて考えたことも無かったな

[n2s]

どうやって攻撃するんだろう。FirefoxだとNoScriptで防御可能だそうな。

[raimon49]

スラド http://tinyurl.com/48wxfe

[napsucks]

ブログ破壊系のブログパーツとか全画面でフォーカス奪うよね。こういうのは起動にユーザクリックが必要だけど、クリックなしでアクティブ化できる脆弱性を見つけたのかな。

[ginpei]

JavaScriptすら使わない、しかもブラウザの仕様の根本に関わるようなセキュリティ問題があるらしい。あまりに重大すぎて詳解はまだできないとか。