He visto a muchos amigos que hacen clickjacked en Facebook y sitios similares.
¿Cómo se detecta y previene el clickjacking? ¿Cómo debo enseñar a mis amigos a hacer lo mismo?
He visto a muchos amigos que hacen clickjacked en Facebook y sitios similares.
¿Cómo se detecta y previene el clickjacking? ¿Cómo debo enseñar a mis amigos a hacer lo mismo?
Lo primero y más importante es que su navegador web debe mantenerse actualizado . También lo son sus complementos y aplicaciones relacionadas con complementos, especialmente Java y Flash.
En segundo lugar, es muy recomendable utilizar la funcionalidad ClearClick en NoScript . Si no planea bloquear scripts, puede usar la configuración relajada, pero asegúrese de habilitar ClearClick. Esta función protege contra la gran mayoría de las variedades de ataques de clickjacking.
Finalmente, ejerce el sentido común . Un sitio web que le indica que haga clic en un botón para ganar un iPhone es muy probable que sea una estafa, por lo que le pide que haga clic en un enlace para que pueda descargar una versión completa de material explícito (como videos e imágenes con contenido sexual) . Lo mismo ocurre con la página web que le promete videos de gatitos que dicen cosas tontas .
La NoScript de la extensión de Firefox será efectiva para protegerte de los ataques de clickjacking.
Este tipo de ataque generalmente requiere que el atacante use JavaScript para mover un iframe debajo del cursor. Por lo tanto, debe ejecutarse en un sitio web donde el atacante puede inyectar JavaScript. Tenga cuidado con los enlaces a jsfiddle.net o sitios web similares, que pueden estar ya en su lista blanca.
En general (y esto debería ser evidente): No siga los enlaces sospechosos. Hay amenazas más serias que ataques de clickjacking en su cuenta de Facebook, como CSRF y malware.
La forma más fácil de protegerse contra el clickjacking es a través de NoScript . Deshabilite los scripts para todas las páginas excepto aquellas en las que confía. Además, habilite ClearClick .
Por lo general, un sitio que está intentando hacer clickjack le pedirá que haga algo de manera indirecta y puede incluir elementos parcialmente ocultos en los que debe hacer clic. Por ejemplo, un clickjack común en Facebook es donde le pedirán que ingrese un texto aleatorio en un cuadro de texto, y luego le pedirán que haga clic en un cuadrado azul que está parcialmente oculto por otros cuadrados de color. En este caso, el cuadro de texto es un cuadro de comentario, y el cuadrado azul es el botón "agregar comentario" que tiene su texto oculto.
Una forma fácil de verificar el clickjacking es ver la fuente de la página y buscar cualquier marco que no debería estar allí.
Un enfoque es utilizar navegadores separados para la navegación general y la navegación sensible.
Tal vez uses Chrome para tu navegación general. Si abre su banca en línea en una pestaña de Chrome, mientras tiene sitios que no son de confianza en otras pestañas, es potencialmente vulnerable a toda una serie de ataques web: secuencias de comandos entre sitios, CSRF, clickjacking, etc. Por supuesto, esperamos que su La banca en línea estará a salvo de estos ataques. Pero si usa un navegador separado para la banca en línea, no está confiando en el sitio para protegerse.
Un enfoque relacionado es usar un navegador y solo tener una pestaña abierta a la vez. Cuando desea realizar operaciones bancarias en línea, cierra todas las pestañas, abre una pestaña para las operaciones bancarias en línea, realiza sus operaciones bancarias en línea, cierra la sesión y luego reanuda la navegación normal. Esto proporciona protecciones similares. Sin embargo, creo que la mayoría de la gente preferiría usar dos navegadores separados.
Esto no te protege contra el malware. Puede defenderse contra el malware utilizando un enfoque similar teniendo una máquina virtual para la navegación general y una máquina virtual separada para la navegación sensible.
Además, esto no lo protege contra vulnerabilidades del lado del servidor, como la inyección de SQL. No hay nada que puedas hacer realmente al respecto.
Lea otras preguntas en las etiquetas javascript clickjacking