El clickjacking no es un fallo de seguridad por asi decirlo, es una forma de manipular las tecnologías que usamos hoy en día para engañar a esos usuarios incrédulos y hacerle creer que ciertas cosas que terminaran perjudicándolos.
Este ataque consiste en cargar una página web externa dentro de un iframe invisible y poner debajo del iframe elementos xhtml para que el usuario haga click logrando que haga lo que nosotros queremos (Y aquí, las posibilidades son infinitas)
Supongamos que cargamos un iframe en una página de noticias,
lo volvemos transparente, y debajo metemos un botón que diga: click aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar una noticia, el resultado será, que el usuario en realidad, hará un click sobre un botón nuestro... y las consecuencias a partir de alli dependerán del código que ese botón contenga.
En la siguiente imagen podrán apreciar mejor el asunto:
Para suerte de muchos, llevar a cabo esta técnica no es tan sencillo como aparenta. Para poder implementarla se requiere de un buen conocimiento y buen manejo de otra técnica: La del Cross-site request forgery, mejor conocida como CSRF.
Ahora, supongamos que en Taringa hay una pagina cuyo boton de "Like" tiene una URL de este formato parecido a este:
www.taringa.net/GNU-Linux/post%de%nechuz.php?like=12
nosotros podríamos crear un iframe apuntado a esa URL cuando el usuario entre al sitio, sin notarlo le estará dando un Like ¿Se entiende?
Si quieren más informacion, les dejo un enlace (lamentablemente en ingles) sobre CSRF Aquí y sobre Clickjacking Aquí
Ahora, pasemos a lo que realmente importa. Como protegerse (Yo se que esperaban otra cosa, pero ya no hago más ese tipo de diabluras
)En Firefox solo basta con instala la extensión NoScript
En Internet Explorer desde Herramientas y seleccionamos Opciones de Internet. hacen clic en la solapa Seguridad, seleccionamos Internet y el Nivel de seguridad para esta zona lo colocan en Alto.
En Chrome, jódanse, odio a ese navegador no tengo ni idea de como ayudarlos
En tu sitio web con un simple script java agregado dentro de las paginas del sitio será suficiente. Básicamente lo que hace es impedir que el sitio se cargue dentro de un iframe.
<script type="text/javascript">
if (top.location != location) top.location = self.location;
</script>
Hay muchas otras formas de conseguir lo mismo, pero esta me pareció lo más sencillo.
Espero que les haya sido de interés y nos vemos en la próxima!
Espero que les haya sido de interés y nos vemos en la próxima!
[/align]