Ho visto molti amici ricevere il clickjack su Facebook e siti simili.
Come si fa a rilevare e prevenire il clickjacking? Come dovrei insegnare ai miei amici a fare lo stesso?
Ho visto molti amici ricevere il clickjack su Facebook e siti simili.
Come si fa a rilevare e prevenire il clickjacking? Come dovrei insegnare ai miei amici a fare lo stesso?
Prima di tutto, il tuo browser web deve essere aggiornato . Così sono i plugin e le applicazioni relative ai plugin, in particolare Java e Flash.
In secondo luogo, si consiglia vivamente di utilizzare la funzionalità ClearClick in NoScript . Se non hai intenzione di bloccare gli script, puoi utilizzare le impostazioni rilassate, ma assicurati di abilitare ClearClick. Questa funzione protegge contro la grande maggioranza delle varietà di attacchi di clickjacking.
Infine, esercita il buon senso . Un sito Web che ti dice di fare clic su un pulsante per vincere un iPhone è molto probabilmente una truffa, quindi è il sito che ti chiede di fare clic su un link per poter scaricare una versione completa di materiale esplicito (come video e immagini con contenuti sessuali) . Lo stesso vale per la pagina web che promette video di gattini che dicono cose stupide .
L'estensione di Firefox NoScript sarà efficace per proteggerti dagli attacchi di clickjacking.
Questo tipo di attacco di solito richiede che l'attaccante utilizzi JavaScript per spostare un iframe sotto il cursore. Pertanto, deve essere eseguito su un sito Web in cui l'utente malintenzionato può iniettare JavaScript. Fai attenzione ai link a jsfiddle.net o a siti web simili, che potrebbero già essere nella tua lista bianca.
In generale (e questo dovrebbe essere ovvio): non seguire collegamenti sospetti. Esistono minacce più gravi degli attacchi di clickjacking sul tuo account Facebook, come CSRF e malware.
Il modo più semplice per proteggersi dal clickjacking è NoScript . Disabilita gli script per tutte le pagine tranne quelle di cui ti fidi. Inoltre, attiva ClearClick .
Di solito, un sito che sta tentando di fare clic su di te ti chiederà di fare qualcosa in una rotatoria, e potrebbe coinvolgere elementi parzialmente oscurati che devi cliccare. Ad esempio, un clickjack Facebook comune è dove ti chiederanno di inserire del testo a caso in una casella di testo, e poi ti chiederanno di fare clic su un quadrato blu che è parzialmente oscurato da altri quadrati di colore. In questo caso, la casella di testo è una casella di commento e il quadrato blu è il pulsante "aggiungi commento" che ha il suo testo oscurato.
Un modo semplice per controllare il clickjacking è visualizzare l'origine della pagina e cercare iframe che non dovrebbero essere lì.
Un approccio consiste nell'utilizzare browser separati per la navigazione generale e la navigazione sensibile.
Forse utilizzi Chrome per la tua navigazione generale. Se apri il tuo banking online in una scheda di Chrome, mentre hai altri siti non attendibili in altre schede, sei potenzialmente vulnerabile a tutta una serie di attacchi Web: cross-site scripting, CSRF, clickjacking, ecc. Naturalmente, speriamo che il tuo l'online banking sarà sicuro contro questi attacchi. Ma se utilizzi un browser separato per l'online banking, non ti stai affidando al sito per proteggerti.
Un approccio correlato consiste nell'utilizzare un browser e avere una sola scheda aperta in una sola volta. Quando si desidera effettuare operazioni bancarie online, si chiudono tutte le schede, si apre una scheda per l'online banking, si esegue il banking online, si chiude la sessione e si riprende la normale navigazione. Questo fornisce protezioni simili. Tuttavia, penso che molte persone preferirebbero utilizzare due browser separati.
Questo non ti protegge dai malware. Puoi difendere dai malware utilizzando un approccio simile avendo una macchina virtuale per la navigazione generale e una VM separata per la navigazione sensibile.
Inoltre, questo non ti protegge da vulnerabilità completamente lato server come SQL injection. Non c'è nulla che tu possa davvero fare al riguardo.
Leggi altre domande sui tag javascript clickjacking