Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
ClearClick est un module de protection anti-Clickjacking spécifique à NoScript, développé en septembre 2008, durant la « panique Clickjacking » ("Clickjacking panic"). Il a fait l’objet de tests et de retours d’informations de nombreux chercheurs impliqués dans la sécurité, tels que RSnake et Jeremiah Grossman (les pères de l'expression « Clickjacking »), Eduardo "Sirdarckcat" Vela et d'autres. Il est désormais activé par défaut, protégeant les utilisateurs de NoScript contre le Clickjacking, partout. Il reste actif même si vous paramétrez NoScript dans son mode le moins sûr, avec « Autoriser les scripts globalement ».
Comment ça marche ?
L’attaque en « Clickjacking » cache ou déplace ou recouvre partiellement quelque chose que sur lequel vous ne voudriez pas cliquer, si vous pouviez le voir dans son contexte original. ClearClick fait exactement l’inverse : chaque fois que vous cliquez sur un objet de type plugin ou un contenu provenant d’un autre endroit que le site visité et injecté dans la page visitée (technologie des « iFrames »), ClearClick fait une capture d’écran de l’objet révélé derrière ce qui semble le cacher ou le recouvrir ou le déplacer en dehors de votre champs de vision ou le rendre transparent pour être invisible. ClearClick fait simultanément une capture d’écran de la même zone telle qu’elle est actuellement affichée et compare les deux captures (l’image de ce que vous voyez, dite « parent » et l’image de ce qui sera vu si vous cliquez sur l’objet), puis les compare. Si les deux images sont différentes, une attaque en « Clickjacking » est sans doute en passe d’intervenir et NoScript affiche un « Avertissement ClearClick » (attaque potentielle en « Clickjacking ») en vous montrant l'objet contextualisé e et en « clair » sur lequel vous étiez sur le point de cliquer, afin que vous puissiez évaluer par vous-même si c'est réellement quelque chose que vous souhaitez faire.
Bien sûr, il y a beaucoup de détails techniques subtils impliqués dans cette détection, mais le concept de base est tout aussi simple que cela.
|
|