¿Cómo nos protegemos del Clickjacking?

Publicado el 02/10/2008 a las 7:01 pm por ZooTV

Hace algunos días les contamos de una vulnerabilidad que afectaba a casi todos los navegadores. Ahora les contamos qué podemos hacer para estar a salvo, ya sea utilizando algunos navegadores o modificando los parámetros de otros.

Vamos paso a paso entonces:

1. Los usuarios de Firefox + NoScript se encuentran a salvo.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m, entre otros) se encuentran a salvo.
3. Los usuarios de Opera deben seguir dos pasos: deshabilitar todas las opciones en Herramientas -> Avanzado -> Contenidos y escribir “opera:config” en la barra de direcciones de Opera. Buscar “Extensions” y deshabilitar iFrames.

Para quienes utilizan Explorer, Safari y Chrome: lamentablemente no se ha encontrado un método que entregue una protección realmente eficaz contra el Clickjacking.

Link: Clickjacking and Other Browsers (Hackademix)

Clickjacking: Lo que todos callan pero muchos ya saben

Publicado el 29/09/2008 a las 1:01 pm por ZooTV

Hace algunos días Jeremiah Grossman y Robert Hansen (dos tipos que saben mucho de seguridad en navegadores) se presentarían en la conferencia OWASP NYC AppSec 2008, con el objeto de discutir y develar una vulnerabilidad que afecta a casi todos los navegadores (excepto a lynx y similares). Claro que a última hora decidieron posponer su presentación, principalmente por “recomendación” de Adobe (que parece ser uno de los principales afectados).

Entonces surgen las dudas y rumores sobre el tema a tratar y éste no sería otra cosa que el Clickjacking, que en palabras bastante simples permite al creador de un sitio web hacer que el usuario pinche en cualquier vínculo, cualquier botón o en cualquier cosa de la página sin siquiera percatarse que lo hace.

En ocasiones anteriores se han presentado vulnerabilidades que afectan a diversos navegadores y que, por lo general, se solucionan con un parche. El problema del que estamos hablando parece no tener una solución tan fácil (no se podría implementar en un simple parche) y no depende de JavaScript (aunque Dicen™ que lo facilita).

Según Hansen el problema ha sido discutido tanto con Mozilla como con Microsoft y ambos han coincidido en que este es un problema bastante complicado y que no tiene una solución sencilla. En tanto Grossman confirmó que las últimas versiones de Internet Explorer y Firefox 3 se encuentran entre los navegadores afectados.

La pelota la tienen ahora las empresas detrás de los distintos navegadores.

Link: New clickjacking affects all browsers; cause remains unknown (ars technica)