点击劫持可能听起来像最新的地下舞蹈热潮,但它远非如此。点击劫持发生在骗局艺术家或其他基于互联网的坏人使用透明层(您无法看到)将看不见的按钮或其他用户界面元素放在看似无辜的网页按钮或界面元素之上时。
无辜的网页可能有一个按钮,上面写着:“点击这里观看蓬松小猫的视频,可爱又可爱”,但隐藏在该按钮顶部的是一个隐形按钮,实际上是一个你不会想要的东西的链接否则想要点击,例如按钮:
- 诱骗您更改Facebook帐户的隐私设置
- 诱骗你“喜欢”你通常不喜欢的东西(a.k.a Likejacking)
- 诱骗你加入自己作为推特追随者为不值得你的人
- 诱使您在计算机上启用某些功能(例如麦克风或相机)
很多时候Clickjacker会在一个框架中加载一个合法的网站,然后将它们的隐形按钮覆盖在真实网站的顶部。
防止您的点击被点击劫持
如果您尚未将浏览器更新为可用的最新版本,那么您不仅错过了可能阻止您获得Clickjacked的升级,而且您也没有利用其他安全更新较新版本的Firefox,IE,Chrome和其他互联网浏览器。将浏览器更新为可用的最新补丁版本。检查浏览器的最新版本是否比您当前安装的版本更新是一个好主意。
您还应该更新浏览器插件,例如Flash,因为某些旧版本可能容易受到Clickjacking攻击。要更新浏览器插件,请访问每个插件制造商的网站并下载最新版本。例如,要更新Flash,请访问Adobe的Flash网站。
有关如何使计算机保持最新的更多信息,请查看文章:如何跟上最新的安全漏洞和补丁
虽然一些互联网浏览器提供有限的内置Clickjacking保护,但有一些强大的Clickjacking检测/预防插件可供Firefox等浏览器使用。其中一些甚至是免费的。以下是一些比较广为人知和受尊重的人:
- NoScript - Firefox的免费(捐赠软件)反点击劫持插件。
- Comitari Web Protection Suite-Home LE(限量版) - Comitari Web Protection Suite的功能受限免费版本。 LE版本包括Clickjacking保护功能。
点击劫持预防不仅是用户的责任。网站和Web应用程序开发人员也可以防止其内容被Clickjackers利用
通过更好地教育用户了解Clickjacking的危险,如何识别攻击,以及如何处理它们,再加上网站和Web应用程序开发人员在编码中的支持以防止Clickjacking,也许有一天世界将免于Clickjackers。
