Атака по типу clickjacking позволяет злоумышленникам размещать на сайте невидимые элементы с целью шпионажа за действиями пользователя либо кражи конфиденциальной информации, например паролей или банковских данных.

Техническая сторона clickjacking проста: на странице располагаются элементы, например ссылки или диалоговые элементы, в самом верхнем невидимом слое, подменяющие обычные безопасные объекты так, что пользователь при их невольной активации самостоятельно запускает вредоносные функции. В IE8 RC1 появилась поддержка специального тега, который Web-мастера могут поместить в заголовок страниц. В случае обнаружения атаки clickjacking браузер уведомит об этом и предложит открыть содержимое сайта в новом защищенном окне.

Поделитесь материалом с коллегами и друзьями