mar 06 2009

Clickjacking cos’è e chi può colpire

Postato da Andrea G. at 12:12 under Browser, News, Sicurezza, Web

Clickjacking

Chi utilizza Internet da tempo sa che come tutto il mondo (‘buono‘) del Web si aggiorna in una corsa vorticosa, anche il lato meno ‘buono’ è in costante rinnovamento.
Nuove minacce, di virus e malware in generale, nascono ogni giorno. Anche le tecniche si affinano e cambiano per scavalcare gli antivirus più intelligenti e i browser dall’apparenza solidissima.

Una tecnica nuova che è stata scoperta e denunciata da poco si chiama Clickjacking e consiste nel far dirottare un navigatore verso siti contro la sua volontà.
In dettaglio utilizzando Javascript (ricordo, per chi non è pratico, che si tratta di codice per creare alcuni elementi delle pagine Web molto usati attualmente) infatti, si riesce a controllare il meccanismo che regola il click e quindi, i programmatori, riescono a far collegare un click verso un qualsiasi link della pagina. Link a pagine pubblicitarie, a banner o link che puntano a download di un programma sono alcuni esempi del vasto utilizzo che si può fare di tale tecnica.

Essa, perciò, si sta diffondendo molto in fretta e molti siti, meno affabili, la utilizzano per inviare i visitatori su loro portali contenenti sponsor o per salvare la loro mail per  spam e altro.

Se capitiamo in una pagina dov’è presente del codice che utilizza questa tecnica di manipolazione del nostro click cosa rischiamo veramente?
Rassicuro subito dicendo che al massimo potremo finire in una pagina in cui non volevamo andare, cliccare su un banner pubblicitario senza volerlo, o che la nostra mail venga inserita nelle liste di qualche spammer, ma certamente, chi ha creato la pagina web, non potranno compiere atti più dannosi come leggere il numero della nostra carta di credito o le credenziali per accedere alla nostra banca online.

Ma non possiamo evitare il Clickjacking?
Attualmente è possibile evitarlo solo con Firefox e più precisamente installando NoScript.
NoScript è un’add-on per Firefox che, in un ultimo aggiornamento, include ClearClick: un controllo sulle pagine che stiamo visitando mirato a scovare proprio questo tipo di tecnica.

Per sapere di più su NoScript vi rimando ad un mio articolo che ne parla più approfonditamente.

Link | Navigazione sicura con Firefox + NoScript

Condividi:
  • Digg
  • del.icio.us
  • Facebook
  • Twitter
  • FriendFeed
  • Google Bookmarks
  • BarraPunto
  • Diggita
  • Segnalo
  • Wikio IT
  • MySpace
  • LinkedIn
  • Reddit
  • StumbleUpon
  • Technorati
  • Upnews
  • Yahoo! Bookmarks
  • Yahoo! Buzz
  • email

Tags: , , , ,

No responses yet

Trackback URI | Comments RSS

Leave a Reply