徳丸浩の日記の記事によると、CookieやlocalStorage等でセッションを管理しているサイトがクリックジャッキング攻撃に対する防御対策をしていないと、ほぼ全ての条件でクリックジャッキングの影響を受けるようになるという。このサイトではGoogle Chrome、Edge、Firefox、Safariで設定を変更することで防御対策を無効化し、その影響に関しての調査をおこなった。その結果自体は元記事を見ていただきたいが、
その中でもSafariに備わっているトラッキングの抑制機能「ITP」の無効化をおこなうと、セキュリティを弱くする結果になるリスクが存在する。しかし、ITPの無効化を推奨しているサイトも複数存在する。メジャーどころとしてはYahoo! JAPANがそうで、iOS 11以降に対して「サイト越えトラッキングを防ぐ」を設定してあると、サービス内の機能が限定されるなど、一部のサービスを利用できなくなるという。このためサイト上の説明で「サイト越えトラッキングを防ぐ」機能をオフにしてからYahoo! JAPANのサービスをご利用くださいとの記載も見られる。その一方で
「サイト越えトラッキングを防ぐ」機能の設定変更は、お客様ご自身の責任において変更してください。
との責任回避のための注釈もされている。徳丸浩の日記の記事では、ブラウザのトラッキング機能を解除するとクリックジャッキング攻撃の影響を受けやすくなるとした上で、サイト運営者は、ブラウザの設定変更を促さすべきではないこと、利用者側もブラウザの設定を安易に変更しないことを警告している。
| セキュリティ
|
関連ストーリー:
Appleによる広告のためのユーザー追跡禁止方針、広告市場に大きく影響を与える
2019年12月14日
Androidの「Toast」機能を使用したオーバーレイ攻撃
2017年09月14日
AdobeやNoScriptからクリックジャッキング対策発表される
2008年10月14日
Source: スラッシュドット