Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: atak przez podmianę interfejsu, przejęcie kliknięć

Sztuczka, w której Twoja prawdziwa witryna zostaje ukryta wewnątrz strony atakującego, tak by odwiedzający klikali rzeczy, których nie widzą — broni przed tym proste ustawienie blokujące osadzanie Twojej strony w ramce.

Co to jest

Clickjacking to oszustwo. Atakujący ładuje Twoją prawdziwą witrynę niewidocznie na (lub pod) własną stronę, a następnie nakłania odwiedzającego do kliknięcia czegoś, co wygląda na niegroźny przycisk. W rzeczywistości kliknięcie trafia na Twoją ukrytą stronę — zatwierdzając płatność, zmieniając ustawienie lub akceptując coś, czego odwiedzający nigdy nie zamierzał. Twoja prawdziwa strona robi dokładnie to, co jej kazano; odwiedzający po prostu nie widzi, w co naprawdę klika.

Dlaczego ma znaczenie dla Twojej firmy

Jeśli Twoją witrynę można po cichu osadzić w cudzej stronie, oszust może sterować Twoimi klientami tak, by wykonywali działania na własnych kontach — a dla klienta będzie to wyglądało, jakby zrobiła to Twoja witryna. To bezpośredni cios w zaufanie, a potencjalnie i w pieniądze Twoich klientów.

Obrona jest prosta: ustawienie, które mówi przeglądarkom „nie pozwalaj wyświetlać mojej strony w ramce innej witryny”. Jest niewidoczne dla zwykłych odwiedzających i całkowicie zamyka tę technikę. Rzadko istnieje powód, by zwykła firmowa witryna dawała się osadzać gdzie indziej, więc zwykle jest to bezpieczna, darmowa wygrana.

Jak sprawdzić / co zrobić

Nasz bezpłatny tester mówi, czy Twoja witryna jest chroniona przed osadzaniem w ramce. Jeśli nie jest, przewodnik naprawczy clickjackingu pokazuje, jak dodać ochronne ustawienie — niewielką zmianę wprowadzaną przez osobę zarządzającą Twoją witryną, bez żadnych kosztów.

Want to fix this on your own domain? See the free guide →