Firefox 3.6.9 guadagna il supporto anti-clickjacking

di Marco Buratto

Pubblicato 10 Settembre 2010
Aggiornato 12 Febbraio 2018 20:47

L’ultimo rilascio del ramo 3.6 del browser di casa Mozilla, Firefox 3.6.9, contiene il supporto allo header di risposta HTTP X-FRAME-OPTIONS, che, inserito dal webserver, istruisce il browser se visualizzare o meno in iframe contenuti nella pagina Web corrente la risorsa richiesta.

Come ben dimostrato dal video in chiusura, il clickjacking è una tecnica di cracking, concettualmente simile al cross-site request forgery, che permette ad utenti autenticati in una data applicazione (ad esempio Facebook) di compiere azioni involontarie nella stessa applicazione (di qualsiasi genere) a mezzo di azioni svolte (click) su pagine Web esterne appositamente studiate.

Tali pagine conterranno ad esempio iframe di Facebook resi trasparenti e modificati al punto di sembrare link di tutt’altra natura: cliccandoci sopra scateneranno l’azione desiderata dal cracker, in quanto solitamente gli utenti rimangono sempre collegati a Facebook, anche se non attivo sul browser, grazie al cookie persistente di sessione.

[youtube 93uciX4eUbQ]