2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック（タップ）をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter

[nmcli]

デフォの設定がちゃんと堅牢寄りになってるのに、その設定変更を促す大手サイトがあるのか

[deep_one]

「この機能はサードパーティCookieによるトラッキングを防ぐ目的で導入されたものですが（略）結果としてクリックジャッキングに対する防御として作用します」Firefoxが堅い理由、そこか。

[teppeis]

SameSite=LaxはCookieを制御するけどlocalStorageでセッション管理するケースは対象外という話。Safari, Firefoxは独自のプライバシー機構で対応

[mitaro]

“アプリケーション提供者は、ブラウザの設定によらずクリックジャッキングを防御するために、CSPやX-Frame-Optionsによりクリックジャッキング対策を実施すること”

[odakaho]

“SameSite属性のないCookieは、Cookieが生成されてから2分以内であれば、クロスサイトのPOSTリクエストに付与されます（参考）が、iframeの場合はこの2分間の猶予期間はなく、ただちにSameSite=Laxとして扱われます”

[takezaki]

“localStorageにトークン類を保存する実装の場合、Chromium系のブラウザ（Chrome、Edge、Opera）ではクリックジャッキング攻撃の影響がある”

[rumbaba]

“Content-Security-Policy”

[yosuke_furukawa]

SaneSiteの影響で、Cookieは基本保護される。一方でlocalstorageはSameSiteの影響下にないので、Chromeでは保護されない。しかし、Safari, FirefoxではITP, TCPによりlocalstorageは分離され、保護されることになる。

[itochan315]

ポイ活でITP無効にしてる人危険だ

[pmint]

結果を見れば分かるけど、広告のパーソナライズを許してるブラウザーの話。ブラウザーの問題にしないのは、マナー講師が日本文化のほうに楯突かないようなもの？

[hylom]

ブラウザごとの違いは把握できてなかったのでとても参考になった。そしてヤフーが安定のひどさ

[Eiichiro]

やばい。ぜんぶ理解できるかな、、、。

[shimokiyo]

タイトルには書いてないけど最後にYahooの問題を指摘している。

[Shinwiki]

えろどうがまえの広告の閉じるボタンとかAD skip 5sとか怖くて押せないわー

[yamadar]

数年前に対策入れたな

[pwatermark]

システムを脆弱にする設定を促しておきながら、それと説明せずに「お前の責任でやるんだぞ」と逃げるってのは、流石に倫理観おかしくねえかな

[defiant]

網羅的に調べられていてすばらしい。BraveはChomiumベースなのに動きが違うのが興味深い。

[ockeghem]

日記書いた。モダンブラウザの機能がクリックジャッキング攻撃に与える影響について説明しています