- 2008年10月 2日 15:05
- しらべる
ほとんどのブラウザが持っている重大なセキュリティ欠陥だそうです。
簡単に言うと、リンクにマウスオーバーしたときにブラウザのステータスバーに表示されるURLとは違うURLに遷移できてしまうというものだそうです。
つーことで、実際に試してみました。
うそリンクその1
ctoa日記へリンク(と見せかけてsuz-labへジャンプ)
このコードは以下のようになっています。
<em>
<a id="test1"
href="http://blog.livedoor.jp/hiroki0907/"
onMouseDown="document.getElementById('test1').removeAttribute('href')"
onMouseUp="location.href='http://suz-lab.blogspot.com/';">
ctoa日記(と見せかけてsuz-labへジャンプ)
</a>
</em>
さらに、こういうことも。
うそリンクその2
suz-labへリンク(と見せかけてナシメモをオーバーレイ) 消す
<em>
<a id="test2"
href="http://suz-lab.blogspot.com/"
onMouseDown="document.getElementById('test2').removeAttribute('href')"
onMouseUp="document.getElementById('cjoverlay').style.display='block'">
suz-labへリンク(と見せかけてナシメモをオーバーレイ)
</a>
</em>
<strong>
<a class="delete"
href="#"
onMouseDown="document.getElementById('test2').setAttribute('href', 'http://suz-lab.blogspot.com/')"
onMouseUp="document.getElementById('cjoverlay').style.display='none'">
消す
</a>
</strong>
さらにこちらのサイトでは、上の「うそリンクその2」のしくみを使って、ソーシャルサイトなどで不正アクセスをされてしまう危険性を示唆しています。簡単に言うと「うそリンクその2」でオーバーレイしているIFRAMEは透明でも、フレーム内のリンクはクリックできます。つまりダミーボタンの真上に別のサイトを完全透明オーバーレイ表示して、ユーザーの意図しないボタンを押させることができてしまうのです。
普段多少リンク先を気にすることがあっても、ステータスバーでしか確認していなかったので、地味ですがけっこうイヤですね。これ。現状、FirefoxのNoScriptプラグインを使うか、IFRAMEを無効にするなど、ユーザー側の対処が必要だそうです。
より詳しくは以下のサイトが参考になります。
- [ZDNet]Clickjacking: Researchers raise alert for scary new cross-browser exploit
- セキュリティ専門家が "Clickjacking" を警告
- Not Clickjacking (Almost Certainly)
