Clickjacking： どんなクリックも致命的なクリックであるかもしれない

Clickjackingに関するデモ（Adobeでカメラやマイクの設定を意図せずに変えてしまう）が公開された，
また，今のところClickjacking脆弱性に関して修正されたのは，
Adobeの設定（関連[1]）とNoscriptしかない・・という話．

　Clickjacking: any click could be the fatal click - heise Security

関連：
[1] アドビ、Flash Playerの「クリック乗っ取り」対策を公表
[2] "Clickjacking"は次の脅威となるか

Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能

　Adobeの公表した予防策，また今のところ最も有効な対策である（と思われる）改善された新しいNoScriptのClearClick機能・・って話．

　Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能 - ZDNet

　Adobeの公表した対策の詳細に関しては関連[2]を，また実証コードに関しては関連[1]も参照のこと．
　それにしても，ClearClick機能はなかなか素晴らしいと思う．

もっとも具体的で野心的な機能は、ClearClickだ。これは、ユーザーが隠されていたり
透明だったりその他の方法で偽装されている埋め込み要素と、マウスやキーボードから、
クリックなど何らかの形で相互作用しようとする際、NoScriptがその相互作用が完了する
のを防ぎ、本物を「明らか」にして表示する。この時点で、ユーザーはこれが本当に
意図してクリックしようとしていた対象かどうかを評価し、この動作をロックしたままに
しておくか、アンロックして自由に相互作用することを許すかを判断する。
　　　　　Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能 - ZDNetより引用

　こういうのを読んでると，Firefoxの良さも分からんでもないです．根本的な解決にはならないけど，非常に有効な対策になることは間違いない．

ちなみに，Operaでの対策としては下記のようなことが紹介されていた．

　Clickjacking and Other Browsers (IE, Safari, Chrome, Opera) - hackademix.net

Opera has the best built-in security user interface among browsers, very similar to NoScript’s concepts:
you can set restrictive defaults if you want, and relax some restrictions on selected sites you trust,
using Site Preferences and Quick Preferences. It’s just slightly less usable than NoScript, and
it can be configured to prevent clickjacking: you need to disable everything you can see
in Preferences|Advanced|Content, then enter opera:config in your address bar,
click the “Extensions” handle and uncheck the “IFrames” line.
　　　　　Clickjacking and Other Browsers (IE, Safari, Chrome, Opera) - hackademix.netより引用

　対策としてはNoScriptを使うより弱いけども，しかし，Operaで出来る有効な対策ってのはこんな感じかな．

　まあ，ぶっちゃけ……信用出来ないWebページにアクセスするときは，全機能を無効にしとけば良いと思うよ．

関連：
[1] Clickjacking： どんなクリックも致命的なクリックであるかもしれない
[2] アドビ、Flash Playerの「クリック乗っ取り」対策を公表
[3] "Clickjacking"は次の脅威となるか

Adobeがクリックジャッキング問題に対処

一時的な対策は公表されてたわけだけど，Adobe Flash Playerのやっとこさ修正版が公開された．

　http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20382082,00.htm?ref=rss:tile=Adobeがクリックジャッキング問題に対処 - ZDNet

Adobeはセキュリティが向上したFlash Player 10（Techmemeの記事）を公表した。
今回のバージョンには、少なくとも5件の重大なセキュリティ上の脆弱性に対する
パッチと軽減策が施されている。
　Adobeによれば、Flash Player 10で対処した脆弱性には、
攻撃者がFlash Playerのセキュリティ管理をバイパスできるものが含まれている。
　　　　　Adobeがクリックジャッキング問題に対処 - ZDNetより引用

　Adobe、クリック乗っ取り問題に対処 - ITmedia

クリックジャッキングはC Playerや主要ブラウザに存在する脆弱性で、ユーザーが知らない
うちに、意図しないリンクをクリックさせられる恐れがある。Flash Player最新版では
この問題に対処して、カメラとマイクロフォン機能に関する攻撃防止策を盛り込んだ。
　また、クロスドメインポリシーファイルに関する権限昇格の脆弱性や、
ポートスキャンの脆弱性、Clipboard APIの脆弱性、FileReferenceアップロード／ダウンロードAPI
の脆弱性も修正された。
　　　　　　　　　　Adobe、クリック乗っ取り問題に対処 - ITmediaより引用

　「Flash Player 10」リリース、クリック乗っ取りやFirefoxバグを解消 - ITPro

Flash Playerにおいては、「カメラとマイクへのアクセス」確認ダイアログにおいて、
「拒否」ボタンを押したつもりでも、実際には「許可」を押したことになって、
攻撃者（悪質なWebサイト）にパソコンのカメラやマイクへのアクセスを許す恐れ
などがある。
　このため同社では2008年10月7日に、設定変更による回避策を公表。そして今回、
脆弱性を修正したFlash Player 10（正式なバージョンは「10.0.12.36」）をリリースした。
最新版では、設定変更をしなくても、クリックジャッキングの被害に遭う恐れはない。
　最新版では、Webブラウザー「Firefox 3」のプラグインで発生する問題も解消した。
Firefox 3でFlashの動画（FLV形式のビデオなど）を再生すると、数秒後に再生が
止まる場合があるという。この問題は「Firefox／Flashバグ」などと呼ばれ、
一部のユーザーの間では話題になっていたとされる。
　　　　　「Flash Player 10」リリース、クリック乗っ取りやFirefoxバグを解消 - ITProより引用

また，ITProの記事には「クリックジャッキング（Clickjacking）」について分かりやすく簡潔な説明がある．

関連：
[1] Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能
[1] Clickjacking： どんなクリックも致命的なクリックであるかもしれない
[2] アドビ、Flash Playerの「クリック乗っ取り」対策を公表
[3] "Clickjacking"は次の脅威となるか