CSRF/クリックジャッキング対策がきちんとなされていないログインフォームを用いると、特定のSNSのユーザに対して意図しないログインをさせることが出来る。
これはブラウザのパスワード保存機能を悪用するもので、ユーザのリアルタイム情報を公開するSNSが狙われる可能性がある。

この攻撃対策の問題点は、ユーザー側ではパスワードをブラウザに保存しないか、IFRAMEなどを全てのページで拒否するようにするしか無いことだ。
一方、SNS側ではログインユーザは多いほうがいいので、見つからない限り対策する意義があまりない。
また、CSRFはログイン後についてのみ対策すればいいや、という間違った思い込みは自分含めて多いのではないかと思う。

今のところとあるSNSで一つだけこの攻撃が通ることを確認した。通報済みなので後ほど公開できると思う。