Sip. Esto puede ser bastante puñetero sobre todo porque algunas webs que visitamos pueden contener hiperenlaces peligrosos o no deseables. Además, para más inri, no importa que tu explorador sea Firefox, Opera, Internet Explorer... todos están en riesgo. Y tampoco te protegerá tener el JavaScript desactivado. Es un nuevo exploit, recién aparecido. Lo han bautizado Clickjacking, y si visitas una web maliciosa que lo contenga, ésta puede volver loco a tu explorador y hacerle clickear los hiperenlaces que a él le dé la gana. Qué diver. Inglés.
Comentarios
En español , por ejemplo , http://www.blogantivirus.com/clickjacking-lo-nuevo-en-inseguridad
afectará a los 6 navegadores que tengo instalados??
#2 Casi seguro que a alguno de esos 6 sí le afecte... jejeje
#2 ¿No leiste ni la entradilla? "Además, para más inri, no importa que tu explorador sea Firefox, Opera, Internet Explorer... todos están en riesgo."
¿Qué tal con noscript?
¿A que no le afecta a mi lynx ni a mi mosaic?
Una vez más NoScript salva a los usuarios de Firefox... la solucion está en bloquear los elementos iFrame con NoScript... alguien sabe si el codigo malicioso es JavaScript? siendo así, como es posible que sin permitir scripts javascript se ejecute? que tipo de codigo es?
El codigo malicioso no es javascript... es una forma ingeniosa de redireccionarte con iframes que veo dificil que se solucione con un parche... pero bueno, desactivando los iframes no eres vulnerable.
)
Noscript va a tener que incluir a este paso una opcion de "DESACTIVAR HTML"
(aunque en algunas webs 2.0 si desactivas Javascript ya es casi como desactivar html
Leer el post original: http://ha.ckers.org/blog/20080915/clickjacking/ Lo meneo porque parece que es un problema gordo de seguridad, pero tanto el titular como la entradilla están muy equivocados.
#7 Al parecer para anularlo hay que bloquear scripts y plugins. Al parecer es un problema muy grave de seguridad y no tiene una solución fácil, de hecho cancelaron por propia voluntad la conferencia que iban a dar para explicarlo para evitar darlo a conocer.
No son muy claros con los detalles, pero al parecer hace algo similar al dns spoofing pero con enlaces, es decir, que al hacer tú click en un enlace te lleve a la web que no es. El navegador no se vuelve loco ni se pone a hacer click el solito. También parece que no es exactamente un problema de los navegadores, si no que puede afectar a cualquier web (habla de que todos los webmaster tendrían que parchear sus páginas), pero que la mejor solución sería sacar un parche, algo que tanto microsoft como mozilla han dicho que no va a ser. nada fácil ni rápido.