クリックジャック対策とその後

先日、取り上げたクリックジャック、回避策が難しいために、実際の手法などが公表されていなかったが、もっとも影響をうけるフラッシュの対策をAdobeが発表した。新版は10月中にリリースされる。

クリックジャックの詳細も解説されているが、簡単に言えば、見ているページに透明な悪意のあるサイトが組み込まれ、本当のボタンやリンクをクリックすると、その下にある偽サイトのボタンもクリックすることになると言うものである。本人の知らないうちに、設定を変えたり、操作を行ってしまう。

前回あげた、対策の他、Adobeではフラッシュの「グローバルプライバシー設定」を「常に拒否」に設定することを推奨している。また、US-CERTで安全なブラウザの設定について詳細に説明してある。(英語だが、画面コピーが付いているので、参考になる。)

ホームページ制作でも、影響は大きい。フラッシュは動画としての利用のみ、iframeは利用しないなど制約がふえる。AJAXの普及でJavascriptの利用もふえているが、設定をOFFにするユーザーも多くなることを、考慮すべきである。

更新-Adobeがクリック対策を施したFlash Player 10を正式発表

クリックジャックの他にもクリップボードハイジャック攻撃という脆弱性にも対応している。旧バージョン9のバッチはまだ発表されていないので、10にアップグレードしたほうが安全である。新フラッシュの機能については、記事:アドビ、「Flash Player 10」の正式版をリリースを参照してください。

クリップボードハイジャックは仕掛けらホームページを閲覧することで、コピペにつかうクリップボード中身を読み取られたり、操作されるもので、意図しないURLにとばされたりする。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA