Il Clickjacking (scippo dei click) è una nuova minaccia potenzialmente molto pericolosa che consiste nel catturare con l’inganno il click del mouse redirigerlo su un oggetto diverso da quello che l’utente intendeva cliccare. Ad esempio: l’utente fa click su un link per accedere ad una pagina web e questa sua azione viene rediretta a sua insaputa su un pulsante per attivare una certa azione. In questo modo è possibile costringere l’utente a fare quasi qualunque cosa all’interno di una pagina web.
Tutti i browser in circolazione sono affetti da questa grave vulnerabilità solo i browser molto vecchi e quelli solo testuali sono immuni (come Lynx e Links).
Le potenzialità di questo tipo di attacco sono numerose, anche se è difficile poter stabilire fino a quanto un hacker si possa spingere con un attacco del genere.
Al momento, l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al plugin NoScript oppure utilizzando un browser solo testuale.
Dato che si tratta di un bug nella progettazione stessa di alcuni standard del World Wide Web non c’è una soluzione semplice e definitiva anche se i ricercatori stanno lavorando con Microsoft, Apple e Mozilla per la creazione di un patch in grado di aggirare il problema.
Maggiori informazioni qui.
Posted by: ILaRi@ in 
tagging: , 
Condividi l'articolo!
Brava Ilaria, non fa mai male richiamare l’attenzione su questi rischi del web. Purtroppo non è una novità il tentativo di uso fraudolento di carpire click. La tecnica che descrivi si basa sull’interposizione di un oggetto trasparente tra il link che vedi e quello che invece vogliono farti cliccare. C’è anche l’uso di oggetti in movimento e pop up che(casualmente) si interpongono mentre muovi il puntatore del mouse ed infine quello più alla portata di tutti ottenuto con gli accorciatori di url. Si scrive l’indirizzo dirottato e lo si accorcia sovrapponendoci un indirizzo in apparenza innocuo.Chi clicca crede di , leggendo l’indirizzo di scaricare qualcosa e si ritrova da un’altra parte.
Per questo motivo adopero da anni una semplice estensione gratuita del browser, il Mc Afee Siteadvisor dove non solo McAfee ma ognuno di noi può collaborare iscrivendosi per segnalare comportamenti scorretti. All’apertura di un sito ma anche durante la ricerca con google, un semaforino ti avverte rosso giallo verde del pericolo e cliccando su di esso ti dice anche che comportamenti “delittuosi” mette in atto il proprietario del sito.
Ho evitato tantissimi problemi durante la navigazione, purtroppo ci sono ancora tantissimi siti validi non censiti che rimangono con la segnalazione spenta (ad esempio il tuo, ma ora mi adopero per segnalarlo)
Ciao Serena
si ilaria carissima, capita anche a me questo fatto che hai spiegato… esiste un programma per rimediare??
graziee ilaria 