Ricerca in FOLBlog

Smascherato il falso allarme clickjacking

 Scritto da alle 00:15 del 23/11/2008  Aggiungi commenti
Nov 232008
 
closeQuesto articolo è stato pubblicato 8 anni 10 mesi 3 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Alcuni giorni fa, ho parlato del Clickjacking, una tecnica che può essere utilizzata per ridirigere i click effettuati dall’utente su un oggetto differente (e nascosto) rispetto a quello visualizzato.
Per avere una dimostrazione di come sia possibile utilizzare questa tecnica anche per scopi poco leciti, vi invito a visitare questa innocua pagina dimostrativa (magari utilizzando diversi browser)e a seguire le istruzioni in essa contenute.
Nessun browser è immune da questa minaccia e al momento solo l’estensione NoScript per Firefox consente un minimo di protezione (con la demo è possibile apprezzarne l’efficacia).

NoScript mi aveva segnalato un possibile tentativo di clickjacking dalla dashboard WordPress del blog. E la cosa mi ha fatto sospettare un falso positivo.

Effettivamente, e per fortuna, si trattava proprio di un falso allarme. Purtroppo non si trovano molte informazioni al riguardo e capire quale fosse il problema è stata un’impresa più faticosa del previsto.
Ho provato ad aggiornare il plugin Adobe Flash Player alla versione 10.0.12.36, effettuato test e prove di ogni tipo, letto decine e decine di articoli al riguardo, senza cavarne piede.
Alla fine mi son rivolto direttamente all’autore di NoScript (Giorgio Maone), postando un messaggio sul forum di Mozilla nel thread dedicato al plugin, scoprendo che questa falsa segnalazione di un possibile tentativo di clickjacking dipendeva dallo zoom impostato in Firefox. 😯
E’ stato sufficiente riportare lo zoom al 100% per far sparire il difetto.
Impostando lo zoom per il solo testo, invece, ovviamente il problema non si ripresenta.
Così come non si presenta installando la development build versione 1.8.5.4 del plugin.
Buono a sapersi.

Aggiornamento 23/11/2008
Rilasciata una nuova versione del plugin che corregge il malfunzionamento nel caso si utilizzi la funzione zoom di Firefox.

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: