クリックジャッキングによるリアルタイム個人情報漏洩
タレコミ by ko-zu
ko-zu 曰く、
CSRF/クリックジャッキング対策がきちんとなされていないログインフォームを用いると、特定のSNSのユーザに対して意図しないログインをさせることが出来る。http://causeless.seesaa.net/article/288884453.html
これはブラウザのパスワード保存機能を悪用するもので、ユーザのリアルタイム情報を公開するSNSが狙われる可能性がある。この攻撃対策の問題点は、ユーザー側ではパスワードをブラウザに保存しないか、IFRAMEなどを全てのページで拒否するようにするしか無いことだ。一方、SNS側ではログインユーザは多いほうがいいので、見つからない限り対策する意義があまりない。
また、CSRFはログイン後についてのみ対策すればいいや、という間違った思い込みは多いのではないかと思う。(母数1、自分)
今のところとあるSNSで一つだけこの攻撃が通ることを確認した。通報済みなので後ほど公開できると思う。
クリックジャッキングによるリアルタイム個人情報漏洩 More ログイン