3
誰かが理論上、目に見えないiframeをコンテンツの上に配置して、誰かがフォームに入れたい入力を受け取ることができるという人がいると聞きました。どのようにこれが可能で疑いを持たないでしょうか?それは私を怖がらせる...HTML/CSS/JS:非表示のフォームがユーザーの入力を傍受することはできますか?
A
答えて
6
はいできます! クリックジャックと呼ばれています。詳細については、このチェックアウト:http://en.wikipedia.org/wiki/Clickjackingは
ミカルZalewski氏は、グーグルの、理論的に例があります(出典:Page 1、Page 2):
は、ドメインAの悪質なページが を指すIFRAMEを作成することができます ユーザが現在 クッキーで認証されたドメインBにおいて アプリケーション、「Zalewski氏は木曜日にメーリングリストにメッセージ で述べている。」 トップレベルのページは、他のビジュアルとIFRAMEの部分 をカバーすることができます 要素をシームレスに非表示にするには、ドメインBの1つのUIボタン「 」、「すべてのアイテムを削除」、 「Bobを友達として追加」などをクリックします。 は、 は、ボタンが 異なる目的を果たし、 サイトAの一部であり、ユーザーにクリックを促すことを意味します。
+0
+1 [NoScript](http://noscript.net)からクリックジャックについて学びました。 – BoltClock
+1
これは不気味です! – tekknolagi
1
これを行うには疑問がなければ、誰かが常に気付きます。標準ユーザーでない場合は、noscript(firefoxプラグイン)をダウンロードしてみることをおすすめします。個人的なホワイトリストに載っていないウェブサイトからjavascriptを実行できないようにします。これはあなたの心配の多くを緩和する必要があります!私は願います!私はそれが私に気分が良くなることを知っています。
0
可能性の領域では、多くの愚かなアイデアがあります。 :-)
理論上、フォームをハイジャックして入力をキャプチャする領域を配置できます。フォームを模倣するか、ユーザーがブラウザのセキュリティボックスの外に出るようにする必要があるので、これは簡単な演習ではありません。これを行うよりも、似たような形でフィッシングする方がはるかに簡単です。
誰かがclickjackingを言いました。クリックイベントを乗っ取っています。全体的に、これはフォームキャプチャとは異なりますが、フォームが埋め込まれたらボタンをカバーするために使用できますが、もう一度、フィッシング攻撃に似ています。この誤解がなければ、彼らはこの作業に必要なJavaScriptを注入できません。
あなたの本当の懸念は何ですか?誰かがあなたのサイトにヒットし、他のサイトがなくてもハイジャックされることがありますか?ありそうもない。人々はだますことができます。 PT Barnumは、毎日生まれている人がいると教えてくれました。
怖がらないでください。私たちはあなたのためにここにいる! – BoltClock
これはHTML/CSSだけに限定されません。私はフラッシュもこれに採用できると信じています。 –