先日、仕事の取引先から「クリックジャッキングを仕込めないか」と相談があった。
「クリックジャッキング？」
初めて聞く用語だったので調べてみると･･･、わは！これはダメだ！
技術的には簡単に仕込めそうですが、負の技術ですね。
リンク先にエロサイト貼っておいて、iframeでレイヤー構造にして透明のfacebookのいいねボタン仕込んどけば、これ性癖みんなに教えちゃうね。
根本的な対策はユーザーにはできなくて、サイト管理者が自サイトにX-FRAME-OPTIONSヘッダを取り入れることで、はじめてブラウザ側のセキュリティ機能で検知できるようですが、ユーザー側で対策できないところはXSSみたいで超怖い。
しかも2013年3月時点の調査状況では、対策済サイトはわずか５％強しかないとのこと。
サイトを公開しているひとは、ここらへんのソリューション少し抑えておいた方がよさそうです。
X-FRAME-OPTIONS によるクリックジャッキング対策
・・・
というわけで、あなたのブラウザがちゃんとクリックジャッキング対策が施されているか、チェックするツールをつくってみました。
「クリックジャッキング対策ブラウザチェッカー」
サイト管理者のみなさんも、ユーザーが安心して訪れられるように対策していきましょう。
95%近くのサイトは未対策だそうですから、いくらブラヴザが最新のものでも防げないようです(noscriptなどのアドオンを導入するなど、別の対策もあるそうですが)。