« An active access token must be used to query information about the current user | トップページ | 続・クリックジャッキング対策 »

2013年4月26日 (金)

クリックジャッキング対策

先日、仕事の取引先から「クリックジャッキングを仕込めないか」と相談があった。
クリックジャッキング?
初めて聞く用語だったので調べてみると・・・、わは!これはダメだ!


技術的には簡単に仕込めそうですが、負の技術ですね。


リンク先にエロサイト貼っておいて、iframeでレイヤー構造にして透明のfacebookのいいねボタン仕込んどけば、これ性癖みんなに教えちゃうね。


根本的な対策はユーザーにはできなくて、サイト管理者が自サイトにX-FRAME-OPTIONSヘッダを取り入れることで、はじめてブラウザ側のセキュリティ機能で検知できるようですが、ユーザー側で対策できないところはXSSみたいで超怖い。

しかも2013年3月時点の調査状況では、対策済サイトはわずか5%強しかないとのこと。
サイトを公開しているひとは、ここらへんのソリューション少し抑えておいた方がよさそうです。
X-FRAME-OPTIONS によるクリックジャッキング対策


・・・


というわけで、あなたのブラウザがちゃんとクリックジャッキング対策が施されているか、チェックするツールをつくってみました。
クリックジャッキング対策ブラウザチェッカー


サイト管理者のみなさんも、ユーザーが安心して訪れられるように対策していきましょう。
95%近くのサイトは未対策だそうですから、いくらブラヴザが最新のものでも防げないようです(noscriptなどのアドオンを導入するなど、別の対策もあるそうですが)。

|

« An active access token must be used to query information about the current user | トップページ | 続・クリックジャッキング対策 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/90008/51386632

この記事へのトラックバック一覧です: クリックジャッキング対策:

« An active access token must be used to query information about the current user | トップページ | 続・クリックジャッキング対策 »