Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/10/2008
En ny type angreb kan få brugere til at klikke på en knap, uden at de ser den.Angrebsmetoden kaldes for clickjacking (klik-kapring). Detaljerne bag den er endnu ukendte. Sikkerhedsforskerne Robert Hansen og Jeremiah Grossman skulle oprindelig have holdt et foredrag i sidste måned om deres opdagelse. De valgte at udskyde det, fordi foredraget indeholdt et eksempel på, hvordan metoden kunne anvendes med et Adobe-produkt. Adobe bad dem vente med at offentliggøre detaljer, til firmaet havde rettet fejlen i produktet.
Af de oplysninger, der foreløbig er kommet frem, fremgår det, at sårbarheden kan findes i browsere og andre typer programmer. Robert Hansen oplyser, at sårbarheden minder om CSRF (Cross-Site Request Forgery), men at den adskiller sig så meget fra den, at metoder til at beskytte mod CSRF ikke hjælper mod clickjacking.
Sårbarheden giver en angriber mulighed for at anbringe en usynlig knap under musemarkøren. Når brugeren klikker på noget, opfattes det som et klik på den usynlige knap, skriver Computerworld US.
Nærmere detaljer ventes offentliggjort sidst på måneden.