Clickjacking, la nuova minaccia del Web

di Fabrizio Sinopoli

Pubblicato 9 Ottobre 2008
Aggiornato 12 Febbraio 2018 20:49

Clickjacking è un termine nuovo nel mondo della sicurezza informatica e indica l’ultima minaccia in ordine temporale.

Come viene spiegato da un articolo apparso su WebNews, si tratta di una minaccia che sfrutta i numerosi link presenti in ogni pagina Web: l’utente pensando ad esempio di cliccare su un bottone Digg o su un banner pubblicitario, clicca in realtà su un “bottone invisibile”, che lo reindirizza su altri contenuti. Potenzialmente è una minaccia gravissima, perché l’utente potrebbe anche essere così portato a compiere azioni “dannose”.

La scoperta di questa nuova minaccia, che interessa quindi tutti i browser (tranne per gli utenti Firefox che hanno installato l’add-on NoScript o coloro che usano Lynx) è stata effettuata da Robert Hansen e Jeremiah Grossman.

In un articolo apparso su ComputerWorld, rispondono ad una serie di domande, per spiegare con semplicità cosa è il clickjacking, come ci si può difendere e altro ancora, come vedremo brevemente qui di seguito

  • Cosa è il clickjacking?
    Il clickjacking permette all’hacker di inserire del codice arbitrario mascherato sotto le sembianze di un link legittimo;
  • Il clickjacking rapprensenta una novità?
    No, si può considerare una variante del Cross-Site Scripting;
  • Quanto è pericolosa come minaccia?
    Le potenzialità di attacco che il clickjacking offre sono numerose, anche se è difficile poter stabilire fino a quanto un hacker si possa spingere con un attacco del genere. Comunque nessuno per ora crede che possa rappresentare un grande pericolo;
  • Cosa fare per difendersi da questo tipo di attacco?
    Ben poco per ora, anche se i due ricercatori consigliano l’utilizzo di Lynx, un browser testuale open-source, nato in ambiente Unix/Linux, ma di cui esiste anche una versione per Windows e Mac Os X;
  • Esiste una soluzione per il clickjacking?
    Essendo un problema legato al Web e non ad uno specifico browser, la risposta sarebbe inevitabilmente no, ma in realtà i ricercatori stanno lavorando con Microsoft, Apple e Mozilla per cercare di trovare insieme una possibile soluzione.