パスワードを忘れた? アカウント作成
6217049 submission
日記

クリックジャッキングによるリアルタイム個人情報漏洩

タレコミ by ko-zu
ko-zu 曰く、

CSRF/クリックジャッキング対策がきちんとなされていないログインフォームを用いると、特定のSNSのユーザに対して意図しないログインをさせることが出来る。http://causeless.seesaa.net/article/288884453.html
これはブラウザのパスワード保存機能を悪用するもので、ユーザのリアルタイム情報を公開するSNSが狙われる可能性がある。

この攻撃対策の問題点は、ユーザー側ではパスワードをブラウザに保存しないか、IFRAMEなどを全てのページで拒否するようにするしか無いことだ。一方、SNS側ではログインユーザは多いほうがいいので、見つからない限り対策する意義があまりない。

また、CSRFはログイン後についてのみ対策すればいいや、という間違った思い込みは多いのではないかと思う。(母数1、自分)
今のところとあるSNSで一つだけこの攻撃が通ることを確認した。通報済みなので後ほど公開できると思う。

この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...