De afgelopen weken zijn er twee nieuwe technieken voor het uitvoeren van Clickjacking onthuld, waardoor aanvallers accounts en vertrouwelijke informatie kunnen stelen. De nieuwste versie van de Firefox NoScript uitbreiding biedt echter bescherming. Bij Clickjacking wordt de gebruiker verleidt om op een kwaadaardige website te klikken, maar wordt de invoer naar een andere website omgeleid, wat vervelende gevolgen kan hebben, zoals het overnemen van een account. Veel Facebook scams gebruiken tegenwoordig Clickjacking, waarbij de gebruiker ergens op een button op een pagina klikt. De click wordt echter gebruikt om spam naar alle contacten in de contactlijst te sturen of krabbels achter te laten.
Vorige week werd "Cross-domain content extraction" onthuld, waarbij een aanvaller informatie zoals session ID's, gebruikersnamen en anti-CSRF tokens kan stelen, en verdere aanvallen kan uitvoeren. De aanvalsvector vereist de nodige interactie van de gebruiker, zoals het klikken en slepen van content. Mozilla zal de aanvalsvector in de toekomst uitschakelen, door cross origin drag & dropping niet meer toe te staan. In de tussentijd biedt NoScript bescherming, ook al is JavaScript ingeschakeld.
Dat geldt ook voor "double-clickjacking", een nieuwe Clickjacking-aanval die veel huidige beschermingsmaatregelen omzeilt en aanvallers in staat stelt om gebruikersgegevens van populaire OAuth service providers te stelen. NoScript-ontwikkelaar Giorgio Maone verbeterde de anti-Clickjacking beschermingsmodule, zodat beide aanvallen worden afgevangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.