Три года назад инженер по программному обеспечению Google Али Джума предложил внести изменения в работу браузера Chrome, которые бы позволили защитить пользователей от кликджекинга.
Кликджекинг представляет собой форму онлайн-атаки, при которой злоумышленник может получить доступ к конфиденциальной информации пользователя или даже к его компьютеру, заманив его на нужную страницу. Принцип действия атаки включает в себя изменение элементов веб-страницы: поверх видимого элемента располагается невидимый слой, в который загружается страница, нужная злоумышленнику. Как правило, целью кликджекинга является запуск рекламных страниц или установка вредоносного кода.
Джума в своем предложении не упоминал конкретно о кликджекинге, однако при презентации схемы он ссылался на видео на YouTube, которое иллюстрировало эту атаку. Проблема, пояснил он, заключается в том, что встроенный фрейм (iframe) можно заставить перемещаться так, чтобы он охватывал другой элемент страницы, тем самым перехватывая клик, предназначенный для другой части сайта.
«Авторы сайтов могут быть недостаточно мотивированы, чтобы самим решить эту проблему, поскольку они получают выгоду от кликов по рекламе, — писал Джума. — Это означает, что для решения этой проблемы может потребоваться вмешательство пользовательских агентов [браузеров]».
Google также извлекает выгоду из кликов по объявлениям. Поэтому борьба с кликджекингом не выходит на первое место в приоритетах компании, учитывая, что с момента внесения предложения Джумой прошло около трёх лет. Только в начале этого года в Chrome появился веб-API IntersectionObserver v2 (IOv2). IOv2 позволяет вычислить невидимый элемент на странице и предназначен для защиты от мошенничества.
В мае инженер Google Стефан Загер расширил идею Джумы. Он предложил на основе IOv2 разработать схему мониторинга перемещения iframe.
«IOv2 не является полным решением. Он будет уведомлять iframe, когда его содержимое скрыто или визуально изменено, но он не обнаруживает перемещения iframe, — отмечает Загер. — Iframe может перемещаться, но пока он постоянно виден, IOv2 не будет выдавать никаких уведомлений».
Модель, которую он предлагает, поможет усложнить кликджекинг. Новая схема была протестирована в нескольких сборках Chrome Canary, но в настоящее время широкому пользователю она пока недоступна. Даты выпуска схемы пока нет.
mogaika
3 года её делали в созданном для этого специпльном отделе? или это была таска для интернов? может это был low priority эпик? Ах, так оказывается этот документ создали 3 года назад. Не пойму, название должно было вызвать смех над тормознутностую гугла? или дать представление о сложности и важности clickjacking проблемы?
Нормальное название этой новости: «Разроботчики Chrome тестируют новый способ борьбы с iframe clickjacking»