Comments 21
Этому виду атак уж куча лет.
Круто было, когда во Flash была недоработка, и можно было так кликнуть на ссылку, под которую был подложен скрытый слой с кнопкой включения и фотографирования веб-камерой :)
Зашёл так на порно-сайтик, а тебя — бац! И сфотали, да ещё и тут же показали, мол, всё про тебя знаем, чувачок, плати монетку, чтобы удалиться из нашей базы :)
Круто было, когда во Flash была недоработка, и можно было так кликнуть на ссылку, под которую был подложен скрытый слой с кнопкой включения и фотографирования веб-камерой :)
Зашёл так на порно-сайтик, а тебя — бац! И сфотали, да ещё и тут же показали, мол, всё про тебя знаем, чувачок, плати монетку, чтобы удалиться из нашей базы :)
Автор не говорит о том, что это принципиально новый вид атак. Он говорит о том, что целью атак может являться сбор информации о пользователях социальных сетей и перехват управления аккаунтом при авторизации через OAuth. В документе, на который ссылается автор, показан пример перехвата управления аккаунтом gmail.
Да, вот это штука интересная, с OAuth.
Перехват аккаунта GMail не срабатывает, если авторизован в нескольких аккаунтах. Придётся писать позиционирование поп-андера на случай использования двух/трёх/четырёх аккаунтов (положение кнопки меняется), и ещё один даблклик с предварительным перепозиционированием окна потребуется на нажатие кнопки, разрешающей управление аккаунтом.
Все зависит от цели. Мне кажется, количество жертв, авторизовавшихся в нескольких аккаунтах, будет меньше, чем тех, кто авторизовался в одном.
В случае же целенаправленной атаки на многоаккаунтового пользователя атакующий, скорее всего, будет знаком с характером и моделью поведения жертвы, и сможет применить что-то типа такого.
В случае же целенаправленной атаки на многоаккаунтового пользователя атакующий, скорее всего, будет знаком с характером и моделью поведения жертвы, и сможет применить что-то типа такого.
UFO just landed and posted this here
Все эти атаки могут пригодиться для безобидных действий(раскрутка группы, добавление в друзья). Пока это не начнет приносить ощутимый вред(такой, как угон личной переписки пользователя), этим мало кто интересуется.
А статья интересная, спасибо
А статья интересная, спасибо
ХМ. Как насчёт в браузере установить нижний порог прозрачности для фреймов?
То есть не меньше 50%, или 0, но тогда она не реагирует на нажатие и события.
Кроме того, установить ограничение — смена прозрачности не реже раза в секунду.
То есть не меньше 50%, или 0, но тогда она не реагирует на нажатие и события.
Кроме того, установить ограничение — смена прозрачности не реже раза в секунду.
Надежнее всего отключить javascript, и включать его точечно только для нужных сайтов (крупных брендов).
Для параноиков я больше рекомендую NoBrowser и Pro варианты NoInternet и NoPower, а то мало ли что. :)
Настоящие параноики сидят в психушке. :) Лично я отключил Flash везде, кроме youtube. И не из соображений безопасности, а из-за надоедливой рекламы. Приятнее наблюдать серые прямоугольники «Флеш-плагин отключен». Иногда включаю на некоторых сайтах, по мере надобности. А javascript лень отключать. Потеря доступа к gmail не пугает, — зарегистрирую новый аккаунт. Вместо отключения скриптов предпочитаю просто чуть повышенную осторожность: не ходить по ссылкам без описания из надежного источника, не качать и не запускать всякие сомнительные кряки и т.д. Это позволяет жить без антивируса и без чистки системы долгие годы. От атак автора тоже защищает.
Но еще надежней (правда, чуть менее удобней) — именно отключение javascript для всего, кроме белого списка сайтов. И с учетом надежности браузеров и легитимных сайтов, паранойи здесь, в общем-то, не особо много.
Но еще надежней (правда, чуть менее удобней) — именно отключение javascript для всего, кроме белого списка сайтов. И с учетом надежности браузеров и легитимных сайтов, паранойи здесь, в общем-то, не особо много.
кстати, метод с OAuth сработал под ФФ, но не сработал под оперой:
во-первых, всплывающее окошко не скрылось, а во-вторых, не появилось после клика.
во-первых, всплывающее окошко не скрылось, а во-вторых, не появилось после клика.
А я думал, что я глючу, когда вдруг поверх видео на ютюбе проявлялись смайлы в разных частях плейера… теперь все ясно :)
вывод — не пользуйтесь провайдерами, которые не умеют выпрыгивать из фреймов
Sign up to leave a comment.
Новые виды атак на основе технологии кликджекинга