Hola,
El clickjacking promete ser el nuevo tema de moda en la red, lo que me recuerda al reciente caso de Kaminsky.
Resumiendo y mucho, porque no hay mucho que decir al respecto, dos investigadores, Jeremiah Grossman y Robert Hansen, han descubierto un vector de ataque que, aparentemente, afecta a multitud de navegadores y otros productos Web, y mediante el cual sería posible que los usuarios efectuasen, entre otras lindezas, clicks o pulsaciones en enlaces sin tan siquiera saberlo. Según lo que se puede leer, es un problema que ni depende de los productos de navegación ni de la presencia de JavaScript, lo que lo convierte en un problema, de llegar a confirmarse, de muy alto impacto, y que habilitaría mecanismos para la ejecución masiva de, entre otros, fraudes basados en pulsaciones no voluntarias sobre enlaces comerciales (click fraud)
Esta vulnerabilidad parece afectar especialmente a los productos de Adobe, hasta tal punto que han solicitado que la charla en OWASP AppSec, donde se iban a relatar los hechos, se aplace hasta que exista un análisis completo de la situación. De momento, la postura oficial de los investigadores es la de guardar silencio, actitud que me parece prudente si efectivamente se trata de un problema multiproducto y con difícil solución.
Además de mucha especulación, sólo tenemos, como información destacable, la opinión de Zalewski y la del creador de NoScript (que parece no ayudará en este caso). Hay más opiniones y noticias a lo largo y ancho de la Web.
En Kriptópolis están haciendo un seguimiento del tema, y es de prever que vayan actualizando la información según se disponga de ella. Habrá que estar al tanto.
Un saludo,
Ejemplos concretos, una vez que se conocen los detalles:
http://ha.ckers.org/blog/20081007/clickjacking-details/
Gracias por el aviso a los chicos de Dragonjar y Shadow Security :D
http://shadowsecurity.uni.cc/explicacion-de-clickjacking-con-ejemplos-practicos/
http://www.dragonjar.org/explicacion-de-clickjacking-con-ejemplos-practicos.xhtml
Un saludo,
Más información útil (vía Dragonjar)
Algunas cosas que podemos hacer para protegernos:
1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
* Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
* Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Un saludo,