Clickjacking: Lo que todos callan pero muchos ya saben

16Luis Vera dijo el 29-9-2008 a las 13:15:

Falta el logo de Chrome.

-3Psainev dijo el 29-9-2008 a las 13:15:

Interesante, pero que complicaciones podría tener “robar clicks”? y como lo hacen : S?

Parece un tema que realmente da para hablar.

3sandrups dijo el 29-9-2008 a las 13:52:

claro que es interesante este tema de la seguridad de los navegadores.

Chrome no aparece en los iconos, me imagino por que todavía es un BETA. Explorer aparece 2 veces por sus 2 sabores que se usan actualmente.

1Marcel Jordán G. dijo el 29-9-2008 a las 13:52:

Esto es el apocalíptico "Botón NEXT" de las aplicaciones y por ende instala wea raras como también en las paginas al querer crear link , conozco muchas paginas chilenas que hacen eso, sobre todo 2 bancos :3

1HURST dijo el 29-9-2008 a las 13:53:

Esta vulnerabilidad basicamente hace que una pagina reciba un click sin que el usuario efectivamente haga un click en su mouse. Esto puede llevar a muchos resultados: clicks en publicidad, descargas, etc.
La buena noticia es que quienes usan Firefox con la extension NOSCRIPT, estan protegidos contra los ataques mas graves, y con solo un cambio en la configuracion la proteccion llega al 100% (segun el creador de NoScript).

Mas info, para quienes saben ingles, aqui:
http://www.wilderssecurity.com/showthread.php?t=221353

1Juan dijo el 29-9-2008 a las 14:00:

yo tampoco entendi nada…
si alguien quiere mis clics que venga por ellos!!!!
a ver si se atreven a robar mis preciosos….

0asd dijo el 29-9-2008 a las 14:03:

links y lynx r0x

4Injerto dijo el 29-9-2008 a las 14:22:

Yo creo que la solución estaría en mostrar siempre hacia dónde va el click. Algunos elementos tienen ONMOMUSEOVER pero no tienen HREF, y en la barra de estado éstos no aparecen, ni tampoco aparecen los destinos de los elementos que no tienen opacidad. El parche más lógico debería empezar por ahí.

9Carlos dijo el 29-9-2008 a las 14:51:

Entonces utilicemos LYNX, claro que el ver pestañas sera algo complejo :s

Me podrían explicar un poquito mas sencillo ( con abaco y porotitos) ¿ donde esta el problema ?

3agua_light dijo el 29-9-2008 a las 15:06:

y el mosaic no esta afectado? ademas… podrian poner una referencia a algunos iconos, que mas de la mitad no tengo idea de donde salieron.

y la solución: poner una opción que bloquee todas las acciones que no provengan del usuario (que se yo monitoreando la entrada de mouse o algo asi)

-6Kirdel dijo el 29-9-2008 a las 15:15:

y como veria mi facebook por lynx??? con verdes y naranjos???

0Fco. dijo el 29-9-2008 a las 15:45:

Lo que hace el atacante es crear un botón invisible debajo del mouse, onda que cuando uno hace click sobre un botón o link que SÍ es parte de la página, uno termina haciendo click en el botón invisible creado por el atacante.

Muy peligroso…

-2rodo dijo el 29-9-2008 a las 15:52:

bastante complejo el tema, pero en lo cotidiano, en que afecta ????

-2Herman dijo el 29-9-2008 a las 16:05:

Lamento la actitud de estos investigadores de no dar a conocer el descubrimiento, hasta ahora lo unico que podria decir es: “ver para creer” ya han existido este tipo de “super ultra mega” vulnerabilidades para darse cuenta que en realidad no lo son tanto.

-4Eduardo dijo el 29-9-2008 a las 16:50:

MMMM este post parece Copy & paste de http://www.kriptopolis.org/clickjacking

1maestroguru dijo el 29-9-2008 a las 17:05:

Podría quien publico esta noticia (ZooTV) explicar un poco más sobre el tema pq con el “en palabras bastante simples ” no se entendió nada.

01200 dijo el 29-9-2008 a las 17:46:

Lo que yo entendí, pero con muchísimas dudas fue que en una página se pueden activar los links solos, sin que el usuario haga clic. Se necesita una aclaración.

Ya suponía que había algún problema, porque la actualización de Firefox 3.02 a la 3.03 fue muy seguida (un par de días). Pero no me imaginé que estaban involucrados todos los navegadores.

-1Herman dijo el 29-9-2008 a las 18:09:

Para los que todavia no cachan que es el clickjacking: Aqui hay más info
Aunque la info es antigua no creo que sea lo mismo que hablan estos viejitos.

7CVillavicencio dijo el 29-9-2008 a las 18:37:

$ sudo aptitude install lynx
(pa los regalones)

-2realswl dijo el 29-9-2008 a las 20:54:

Aaaah estamos listos, con el Lynx nos salvamos …

-2alvaro dijo el 29-9-2008 a las 21:43:

Pero de que nivel es el problema? Por que si me dicen que es para aumentar los clicks en el adsense, no es nada.

Si el tema es robar clicks obio que javascript lo facilita, pero hay muchas formas de hacer que alguien haga click en algo.

Que tiene el “click” que no tiene el “enter” que hace a lynx y a los navegadores en modo terminal seguros?

-2alvaro dijo el 29-9-2008 a las 21:47:

…mejor instalo links2

Me dió cuco la noticia :S

-2TurboMAC dijo el 29-9-2008 a las 22:17:

Demonios, esta mi navegador favorito en la lista. Konqueror.
De todas maneras confio mucho en el equipo de kde. Mucho mas de lo que confio en cualquier equipo de microsoft.

0ñañañajajoa dijo el 29-9-2008 a las 22:54:

quiero hacer clickjacking en mi pagina web, como le hago?

2EVER dijo el 30-9-2008 a las 09:09:

Mejor pone un link a alguna pagina que de verdad explique el asunto y te sale mejor, pq el articulo no se entiende ni “J”

2ricardator dijo el 30-9-2008 a las 09:28:

y el dueño del post brilla por su ausencia…

3Mr_Trukit0 dijo el 30-9-2008 a las 17:44:

Estuve averiguando de qué se trata exactamente todo esto, y en mi blog redacté un artículo explicativo sobre el tema.

En resumen, la vulnerabilidad (o al menos lo que hasta el momento se conoce de la potencial serie de vulnerabilidades que se rumorean) está relacionada con el manejo de los IFrames y las sesiones persistentes, y sobre cómo ciertas propiedades inherentes de estos elementos se pueden aprovechar con fines maliciosos.

Saludos.

0alvaro dijo el 30-9-2008 a las 21:45:

No sólo de los iframes sino que de todos los elementos tipo “objeto” (flash, applet, frame…)

Lo que aun me pregunto es con que fin se usan los click.

0Mr_Trukit0 dijo el 30-9-2008 a las 22:37:

@alvaro: ¿En dónde hay alguna prueba de concepto en donde se haga Clickjacking utilizando algún OBJECT?

0Álvaro dijo el 1-10-2008 a las 12:37:

@Mr_Trukit0:
HTML, es un documento de texto, no son programas ni reproductores multimedia. iframe y frame rompen con esa “regla”. Pero estas son muy requeridas, para eso w3c tiene el tag que puede contener otra página un archivo multimedia o un plugin. osea con este tag también se podría hacer los que describes en tu blog.

Buena la explicación en tu blog, pero no explicas por que adobe está tan preocupada por esta vulnerabilidad.

0Álvaro dijo el 1-10-2008 a las 12:40:

Sorry, el blog me borró el tag
“object” es el tag que se una para incrustar elmentos.

1Mr_Trukit0 dijo el 1-10-2008 a las 17:04:

@Álvaro: No me he metido en el tema de Adobe porque justamente no conozco una aplicación del “clickjacking” usando otra cosa que no sea IFrame, aunque ahora he visto que W3C reemplazará la función de IFrame mediante Object (de manera que Object pueda incrustar páginas HTML al mismo modo de IFrame).

Y respecto a hacer Clickjacking con animaciones Flash, no lo veo factible porque hacer que una animación Flash se vea completamente transparente cuando originalmente no lo es, es algo inviable porque no la renderiza el navegador, sino que DirectX (u OpenGL en el caso de los sistemas no-Windows).

En resumen, no es posible ocultar una animación Flash (proveniente de otro sitio Web) detrás de un documento HTML en un sitio local (sitio malicioso). Pero sí es posible hacer lo contrario, es decir, poner por delante una animación Flash y por detrás código HTML, y ahí se seguiría usando IFrame para invocar al documento remoto y ocultarlo.

En resumen, sigue dependiendo de IFrame visto desde ese punto de vista.

Corríjanme si me equivoco.

Saludos.

1Álvaro dijo el 1-10-2008 a las 18:16:

@Mr_Trukit0:
A Adobe no lo puso nadie, Adobe se puso solo en el tema, y no creo que sea por que sus animaciones podrian ocultar iframes.

No te estoy alegando nada porciacaso, pienso puedes tener mucha razón. Pero todo es supuesto, por que no se sabe de que se trata.

0Mr_Trukit0 dijo el 1-10-2008 a las 18:20:

@Álvaro: Hasta que Adobe no suelte dicha información, no podremos saber mucho al respecto :/

-1David.cs dijo el 1-10-2008 a las 23:29:

bien parecido el título

0David.cs dijo el 1-10-2008 a las 23:35:

De izquierda a derecha, estos serían los navegadores correspondientes a los íconos:

Amaya – ? – Avant – Mozilla Camino – Epiphany – Mozilla Firefox – Flock – Galeon – ? – Internet Explorer 7 – Internet Explorer 6 – K-Meleon – Konqueror – Maxthon – Netscape Navigator – OmniWeb – Opera – Safari – Mozilla Seamonkey – Shiira

-1David.cs dijo el 1-10-2008 a las 23:39:

Amaya – http://www.w3.org/Amaya
?
Avant – http://www.avantbrowser.com
Mozilla Camino – caminobrowser.org
Epiphany – http://www.gnome.org/projects/epiphany
Mozilla Firefox – http://www.mozilla.com/firefox
Flock – http://www.flock.com
Galeon – galeon.sourceforge.net
?
Internet Explorer 7
Internet Explorer 6
K-Meleon – kmeleon.sourceforge.net
Konqueror – http://www.konqueror.org/features/browser.php
Maxthon – http://www.maxthon.com
Netscape Navigator
OmniWeb – http://www.omnigroup.com/applications/omniweb
Opera – http://www.opera.com
Safari – http://www.apple.com/safari/download
Mozilla Seamonkey – http://www.seamonkey-project.org
Shiira – shiira.jp/en

0¿Cómo nos protegemos del Clickjacking? - FayerWayer dijo el 2-10-2008 a las 19:02:

[...] algunos días les contamos de una vulnerabilidad que afectaba a casi todos los navegadores. Ahora les contamos [...]

0amarok dijo el 2-10-2008 a las 19:44:

@Mr. Trukit0:
Felicitaciones y gracias. Me ahorraste harto tiempo googleando. Tu explicación está excelente.