Исследователь предлагает способ покончить с кликджекингом

31.05.2012 | 11:07
Исследователь Бред Хилл (Brad Hill) из PayPal убежден, что сочетание рандомизированного интерфейса пользователя (UI) и внутреннего инструмента сравнения скриншотов могут прекратить атаки с использованием кликджекинга, пишет Infosecurity.

Справка:Кликджекинг (англ. Clickjacking) — механизм обмана пользователей интернета. Принцип основан на том, что поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя. Возможны различные применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счет.

Техника, названная “Адаптивная рандомизация UI”, комбинирует рандомизированные изменения в элементы UI со статистическим анализом результата первого клика, обеспечиваемого инструментами сравнения скриншотов, объяснил Хилл в статье, опубликованной ранее в этом месяце.

“Хотя это - не универсальное решение для борьбы с кликджекингом, метод не требует никаких модификаций существующих сетевых пользовательских агентов и применим во многих самых распространенных случаях, для которых в настоящий момент не существует других способов уменьшение отрицательных последствий”, -написал в статье.

Брайан Донохью (Brian Donohue) предостерегает в Threatpost blog, что рандомизацию IU уже несколько лет пробовали применять для борьбы с clickjacking атаками. “Однако, имеется ряд ограничений. Хеширование расположения интерфейса пользователя может быть неудобна для пользователя, среди прочего. Кроме того, применение только рандомизации все же позволяет кликджекерам добиваться успеха в достаточном числе случаев.”
кликджекинг, clickjacking
По материалам ЦИБ
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код