Back to site

clickjane.css: CSS Карыстальнік стыляў, каб дапамагчы выявіць і пазбегнуць ClickJacking Напады

ClickJacking ці, больш афіцыйна, карыстацкі інтэрфейс выпраўлення, з'яўляецца клас уразлівасцяў падобныя на фішынг-нападаў. Методыка выкарыстоўвае вэб-стандарты, каб падмануць нічога не падазравалых ахвяр у здзяйсненні дзеянняў, яны не маюць намер.

ClickJacking не спадзявацца на памылкі ў любым праграмным забеспячэнні. Замест гэтага, тэхніка проста злоўжыванне расце графічныя магчымасці, што перадавыя вэб-стандарты, такія як CSS дае вэб-браўзэраў. Добрае ўвядзенне ў ClickJacking ажыццяўляецца Стыў Гібсан і Лео Лапорт на іх бяспеку зараз! падкаст.

Наколькі мне вядома, толькі Firefox ў спалучэнні з NoScript дапаўненні і Internet Explorer ў спалучэнні з прадуктам GuardedID забяспечыць любыя меры абароны ад ClickJacking нападаў. На сённяшні дзень ніякай іншай браўзэр можа выявіць, папярэджанне, або ў адваротным выпадку дапаможа вам пазбегнуць або паменшыць рызыка ClickJacking нападаў.

Тым не менш, там павінен быць што-то карыстальнікі іншых браўзэраў можа зрабіць. Ну, гэта не можа быць столькі, колькі тое, што NoScript можа зрабіць, але ёсць што-то: выкарыстоўваць ліст карыстальніка стылі, каб дапамагчы выкрыць агульнай ClickJacking спробы нападу.

clickjane.css дапамагае выявіць ClickJacking нападаў для ўсіх браўзэраў

Да браўзэра вытворцы падаюць убудаваныя сродкі абароны ад нападу ClickJacking ў сваё праграмнае забеспячэнне (якое, верагодна, лепшае месца для такой логікі, у першую чаргу), я пачаў разам стыляў карыстальнік Я тэлефаную clickjane.css, што спробы імгненна выявіць агульныя ClickJacking спробы. Так як гэта CSS стыляў карыстальніка, гэты падыход павінен быць крос-браўзэр, сумяшчальны з тым каб карыстальнікі любы браўзэр, уключаючы Safari, Opera і іншых браўзэраў, якія не маюць іншых сродкаў абароны ад нападаў ClickJacking можаце выкарыстоўваць яго.

Я толькі нядаўна даведаўся аб гэтым класе подзвігі і таму я не вышэйшай добра інфармаваныя па гэтай тэме. Як вынік, clickjane.css файл адносна рэдка і ў цяперашні час толькі паказвае тое, што я ўпэўнены, што гэта невялікі набор ClickJacking attmpts. Аднак, як я даследаванні гэтай тэмы і даведацца больш аб фактычнай асноўны HTML і CSS, што ClickJacking выкарыстоўвае, я буду абнаўляць clickjane.css код выявіць гэтыя спробы, як добра.

Натуральна, узносы і дапамогу ў любой форме, маюць вялікае значэнне! Даведайцеся больш пра clickjane.css а таксама аб тым, як выкарыстоўваць яго ў Clickjane CSS Github вікі.

Да і пасля clickjane.css

Вось два прыкладу скрыншоты дабраякасных дэма ClickJacking.

  1. Перад:
    Screenshot of Safari before clickjane.css is used to expose clickjacking attempts.

    Скрыншот Safari да clickjane.css выкарыстоўваецца для прадастаўлення ClickJacking спробы.

  2. Пасля:
    Screenshot of Safari after clickjane.css is used to expose clickjacking attempts.

    Скрыншот Safari пасля clickjane.css выкарыстоўваецца для прадастаўлення ClickJacking спробы.

Добрыя звычкі вы павінны атрымаць у па змякчэнні рызык ClickJacking

Вось спіс паводзінаў, якія вы павінны зрабіць звыклым, пакуль вы праглядаеце ў Інтэрнэце. Удзел у такіх паводзін можа значна паменшыць верагоднасць таго, што вы будзеце ахвярай ClickJacking атакі.

Published (Last edited): Apr 15 , source: http://maymay.net/blog/2008/12/29/clickjanecss-a-css-user-style-sheet-to-help-detect-and-avoid-clickjacking-attacks