タグ

2023年4月4日のブックマーク (1件)

  • 2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

    サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter

    2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
    yosuke_furukawa
    yosuke_furukawa 2023/04/04
    SaneSiteの影響で、Cookieは基本保護される。一方でlocalstorageはSameSiteの影響下にないので、Chromeでは保護されない。しかし、Safari, FirefoxではITP, TCPによりlocalstorageは分離され、保護されることになる。