L’ultimo rilascio del ramo 3.6 del browser di casa Mozilla, Firefox 3.6.9, contiene il supporto allo header di risposta HTTP X-FRAME-OPTIONS, che, inserito dal webserver, istruisce il browser se visualizzare o meno in iframe contenuti nella pagina Web corrente la risorsa richiesta.
Come ben dimostrato dal video in chiusura, il clickjacking è una tecnica di cracking, concettualmente simile al cross-site request forgery, che permette ad utenti autenticati in una data applicazione (ad esempio Facebook) di compiere azioni involontarie nella stessa applicazione (di qualsiasi genere) a mezzo di azioni svolte (click) su pagine Web esterne appositamente studiate.
Tali pagine conterranno ad esempio iframe di Facebook resi trasparenti e modificati al punto di sembrare link di tutt’altra natura: cliccandoci sopra scateneranno l’azione desiderata dal cracker, in quanto solitamente gli utenti rimangono sempre collegati a Facebook, anche se non attivo sul browser, grazie al cookie persistente di sessione.
[youtube 93uciX4eUbQ]
