Методи захисту від ClickJacking

22:42 02.12.2011

Раніше я розповідав про методи захисту від ClickJacking в статті Заголовок X-Frame-Options, де розповів про один з таких методів. А зараз розповім про всі основні методи захисту від ClickJacking. Зазначу, що дані методи (з різною ефективністью) можуть також використовуватися для захисту від MouseOverJacking.

Існують наступні методи захисту від ClickJacking:

  • На стороні клієнта:
    • Ghostery
    • NoScript
    • GuardedID
    • Gazelle
  • На стороні сервера:
    • Framekiller (працює у всіх браузерах)
    • Заголовок X-Frame-Options (вимагає підтримки зі сторони браузера)

Якщо client-side методи вимагають наявності у користувача спеціального плагіна (Ghostery, NoScript чи GuardedID) або спеціального браузера (Gazelle) для захисту від ClickJacking, то server-side методи, зокрема Framekiller, цього не вимагають.

За виключенням заголовка X-Frame-Options. Який вимагає як наявності відповідного браузера (останні версії основних п’яти браузерів), так і необхідності веб розробникам і адмінам сайтів додавати його підтримку на сайтах (щоб сайти виводили даний заголовок), щоб захист спрацював у браузері користувача.


2 відповідей на “Методи захисту від ClickJacking”

  1. Felix каже:

    Hi!

    Ghostery does not prevent click-jacking attacks. Ghostery is a privacy product, and thats the type of defense it offers: we maintain a list of known privacy applications that are embedded into sites and are known to track users. Some of the entries are indeed click-jacking violators, but its not a security product like NoScript.

  2. MustLive каже:

    Felix

    I’ve based my article about different ClickJacking protecting methods on the list in Wikipedia’s article about Clickjacking. Which I’ve mentioned about in 2010 at my site, and after I’ve recently wrote detailed article about X-Frame-Options header, I’ve also decided to make an article with the list of all main methods of protecting against ClickJacking.

    Thanks for information. I haven’t work with Ghostery. But because your software is mentioned in that list as one protection method, I’ve mentioned about it. So as from your words, as from words in Wikipedia’s article, it looks like your software is “limited ClickJacking protection solution”. But at that it’s not a security product (and I’ve wrote about different protection methods, regardless is it security or other product).

Leave a Reply

You must be logged in to post a comment.