Gisteren kwam het Amerikaanse US-CERT nog met het advies om iframes in de browser uit te schakelen, aangezien dit nog de enige bekende bescherming tegen clickjacking is. Safari gebruikers hebben pech, want daar is dit niet in te stellen. Via clickjacking kunnen aanvallers de "klik" van de gebruiker voor kwaadaardige doeleinden gebruiken. Browserhacker Michal Zalewski ging deze week op het onderwerp in, maar ook hij kon nog niet precies zeggen wat de aanval behelst.

"Een kwaadaardige pagina in domein A creëert een iframe die wijst naar een applicatie in domein B, waar de gebruiker op dat moment via cookies is geauthenticeerd. De top-level pagina kan dan een gedeelte van het iframe met andere visuele elementen verbergen om alles achter een enkele user interface knop te verstoppen in domein B, 'verwijder alle items', 'voeg deze persoon als vriend toe', etc. Het laat dan een misleidende user interface zien die laat geloven dat de button iets anders doet en onderdeel van site A is, en nodigt de gebruiker uit om erop te klikken. Hoewel de genoemde voorbeelden naïef zijn, is dit duidelijk een probleem voor een groot aantal moderne web applicaties."

Eerder kwam ook de Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp met dit voorbeeld. "Ook een vorm van clickjacking. Alleen dan zonder iframe, maar gewoon een formuliertje." Hij denkt dat als de gebruiker klikt, de aanvaller snel een button plaatst waar geklikt gaat worden. "Je kunt gewoon een click 'opvangen' en dan een knop of link plaatsen op de locatie, die je al weet via x,y as van de muis positie, dan schrijf je daar snel met javascript een link of knop op die plaats. Mijn voorbeeld kan dat ook, alleen dan zonder JavaScript." Toch houdt hij nog een slag om de arm aangezien de details schaars zijn. Die komen pas als Adobe het probleem heeft gepatcht, hoewel ook de browser vendors actie moeten ondernemen.