https://www.bravotouring.com/~yano/archives/2009/02/18/ Recent content in 2009/02/18 on Yano's digital garage Hugo en-us Wed, 18 Feb 2009 18:54:06 +0900 https://www.bravotouring.com/~yano/diary/it/20090218click.htm Wed, 18 Feb 2009 18:54:06 +0900 https://www.bravotouring.com/~yano/diary/it/20090218click.htm <table align="right" class="Landscape"> <tr> <td><img alt="ThinkPad X200" src="https://www.bravotouring.com/~yano/images/2009/20090218x200.jpg"/></td> </tr> <tr> <td class="PhotoMemo">X200届いた</td> </tr> </table> <p>明日19日の配達指定になってたが、先ほどX200が届いた。8日深夜の決済から数えて8営業日でのデリバリー。先週末のディスカウントクーポンは<span class="Price">18,000円</span>に下がってたので、我ながらいいタイミングで買ったね。</p> <p>さて、書き忘れその１。<a href="http://itpro.nikkeibp.co.jp/article/NEWS/20080929/315648/">昨年9月に報告</a>された、<a href="http://itpro.nikkeibp.co.jp/article/Keyword/20081202/320544/">クリックジャッキング</a>という攻撃が心配されている。</p> <p>読んで字の如く<span class="Emergency">「クリックを乗っ取る」攻撃</span>で、「見えないボタン」を置く事で利用者に気付かれることなくボタンを押させることができるという。</p> <p>と文章で書いたところでよくわからんと思うので、どういう状況になるのかは<a href="http://www.youtube.com/">YouTube</a>の動画で<a href="http://www.youtube.com/watch?gl=JP&hl=ja&v=gxyLbpldmuU">デモビデオ「Webcam ClickJacking」</a>の例を見て頂くと、「Flash」のプライバシー設定が変更されてWebCamの画像が流れてしまう経緯がわかりやすいかと思う。</p> <p>すでに<a href="http://japan.zdnet.com/news/sec/story/0,2000056194,20381734,00.htm">アドビが「Flash Player」の「クリックジャッキング」回避策を発表</a>し、<a href="http://www.adobe.com/jp/support/security/advisories/apsa08-08.html">セキュリティ情報APSA08-08</a>でバージョン10.0.12.36、9.0.125.0以降へのアップデートを推奨しているが、事がFlashに限らずiframeな環境などブラウザの動作する仕組みに関わる根本的な欠陥で簡単なパッチでは修正することができない、幅広くて厄介な問題だ。</p> <p><a href="http://japan.zdnet.com/news/sec/story/0,2000056194,20387346,00.htm">「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性</a>はあるし、<a href="http://www.computerworld.jp/news/sec/133449.html">IE8のクリック・ジャッキング対策機能もまだ充分でない</a>という話だ。<a href="http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381772,00.htm">ClearClick機能を実装したNoScript</a>が一番有効らしい。</p> <p class="Reference">【参照】 <br/>●ITmedia エンタープライズ <a href="http://www.itmedia.co.jp/enterprise/">http://www.itmedia.co.jp/enterprise/</a> <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/0809/28/news001.html">「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か</a> 2008年9月29日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/0810/16/news024.html">Adobe、クリック乗っ取り問題に対処 </a> 2008年10月16日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/0811/07/news034.html">Flash Player 9でもアップデート公開、XSSの脆弱性に対処</a> 2008年11月7日 <br/>┗<a href="http://www.itmedia.co.jp/enterprise/articles/0902/15/news004.html">防止措置講じる：「クリックしてはいけない」――Twitterで横行する手口</a> 2009年2月15日 <br/>●ZDNet Japan <a href="http://japan.zdnet.com/">http://japan.zdnet.com/</a> <br/>┣<a href="http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm">クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告</a> 2008年9月27日 <br/>┣<a href="http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381029,00.htm">Firefox + NoScript vs クリックジャッキング</a> 2008年9月28日 <br/>┣<a href="http://japan.zdnet.com/news/sec/story/0,2000056194,20381734,00.htm">アドビ、「Flash Player」の「クリックジャッキング」回避策を発表</a> 2008年9月28日 <br/>┣<a href="http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381772,00.htm">Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能</a> 2008年10月10日 <br/>┗<a href="http://japan.zdnet.com/news/sec/story/0,2000056194,20387346,00.htm">「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性</a> 2009年1月30日 <br/>●日経ITpro <a href="http://itpro.nikkeibp.co.jp/">http://itpro.nikkeibp.co.jp/</a> <br/>┣<a href="http://itpro.nikkeibp.co.jp/article/NEWS/20080929/315648/">「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響</a> 2008年9月29日 <br/>┣<a href="http://itpro.nikkeibp.co.jp/article/COLUMN/20081105/318470/">クリックジャッキング攻撃</a> 2008年11月5日 <br/>┣<a href="http://itpro.nikkeibp.co.jp/article/Keyword/20081202/320544/">クリックジャッキング とは</a> 2008年12月2日 <br/>┗<a href="http://itpro.nikkeibp.co.jp/article/COLUMN/20081211/321199/">正体が見えた「クリックジャッキング」</a> 2008年12月11日 <br/>●CNET Japan <a href="http://japan.cnet.com/">http://japan.cnet.com/</a> <br/>┗<a href="http://japan.cnet.com/news/sec/story/0,2000056024,20387346,00.htm">「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性</a> 2009年1月30日 <br/>●Computerworld.jp <a href="http://www.computerworld.jp/">http://www.computerworld.jp/</a> <br/>┗<a href="http://www.computerworld.jp/news/sec/133449.html">IE8のクリック・ジャッキング対策機能はほんとうに有効か</a> 2009年1月28日 <br/>●スラッシュドット・ジャパン <a href="http://slashdot.jp/">http://slashdot.jp/</a> <br/>┗<a href="http://slashdot.jp/security/article.pl?sid=08/10/13/1453226">AdobeやNoScriptからクリックジャッキング対策発表される</a> 2008年10月13日 <br/>●Adobe <a href="http://www.adobe.com/jp/">http://www.adobe.com/jp/</a> <br/>┗<a href="http://www.adobe.com/jp/support/security/advisories/apsa08-08.html">Flash Playerにおける「クリックジャッキング（Clickjacking）」の回避策(APSA08-08)</a> 2008年10月7日 <br/>●YouTube <a href="http://www.youtube.com/">http://www.youtube.com/</a> <br/>┗<a href="http://www.youtube.com/watch?gl=JP&hl=ja&v=gxyLbpldmuU">Webcam ClickJacking</a> 2008年12月11日 <br/>●Wikipedia <a href="http://ja.wikipedia.org/wiki/">http://ja.wikipedia.org/wiki/</a> <br/>┗<a href="http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0">クリックジャッキング</a> </p>