Clickjacking a Facebook: Dajte si pozor!

Facebook je kontroverzný svojimi bezpečnostnými dierami a stále a stále sa objavujú nové spôsoby, ktorými sa dajú zneužiť. Škodlivé stránky dokážu bežného používateľa donútiť k činnostiam, ktoré by sám nechcel, často bez jeho vedomia. Najnovším takým fenoménom je tzv. Clickjacking (wiki).

Clickjacking

Jedná sa o techniku, ktorá prekryje zobrazovanú stránku inou stránkou, čo má za následok to, že klikáte na inú stránku, než akú pred sebou máte. Na facebooku sa stránky bežne prekrývajú veľkým Like tlačidlom. To má za následok šírenie odkazu po facebooku, čiže šírenie spamu. Šírenie spamu nás hnevá, hlavne ak ho šírime my sami bez nášho vedomia.

Čo je ale omnoho horšie, je fakt, že škodlivá stránka môže zobraziť napríklad úplne legitímny formulár vášho internetového bankovníctva a prekryje ho formulárom, ktorý odchytáva heslo. Následky snáď nemusím ani písať.

Ako sa môžme brániť?

Správnym spôsobom je analýza zdrojového kódu podozrivej stránky. Laický používateľ je ale v tomto ohľade bezmocný.

Niečo by sa ale našlo. Používajte ten správny prehliadač. Napríklad Google Chrome sa správa tak, že keď už kliknete na prekrytú stránku, stránka pod ňou už kliknutie nezachytí. To znamená, že ak vás stránka láka, že po kliknutí na obrázok sa zobrazí nejaké video alebo iný obsah, a po kliknutí sa tak nestane, je to takmer vždy takýto podvod.

Brániť proti Clickjackingu by sa ale mali hlavne webdesigneri stránok, ktoré by mohli byť takýmto štýlom podvrhnuté. Napríklad úspešnou technikou je zákaz reakcie na kliky, pokiaľ stránka detekuje, že je v iframe. Do podrobností implementácie by som nezachádzal v mojom krátkom článku.

  • Tomáš Srna

    NEKLIKAT: “>>> Absolutne nejtrapnejsi gol na MS ve fotbale 2010!!! <<<" Je to presne to o com pisem. Nemenovanej webhostingovke, ktora stranku hostuje som pisal report, oni mi podakovali a ze sa na to pozru ale stranku nezrusili. Takto si nepredstavujem pristup hostingovky!

  • ja som to aj reportoval na Facebook, s rovnakym vysledkom :-(