Tam jde o to, ze mas v jednom okne otevreny tvuj ucet a v druhem klikas treba na stryptyz a kazdou akci zaroven listujes po svem uctu a preposilas nekomu data, ne ze platis. Treba se zjisti komu platis, jake mas prijmy, jestli si zajimavej pro vetsi utok apod. Takto to aspon chapu ja. Kdysi jsem delal ochranu proti teto srande, myslim ze v reklame se da podobneho principu take zneuzit.
To nechapu, jak timto zpusobem potvrdim platbu u RB/ebanky, ktera pri pouziti mobilniho klice vyzaduje zadani SMS, a ktera patri "mezi postizene banky".
Taky me zajima, jak se utocnik dostane k citlivym udajum:
Nijak a take myslim ze to nelze. Zlehcim to, ale Rasto asi potreboval rict neco zajimaveho a tak si vymyslel toto tvrzeni:)
Taky by me zajimalo, jak napriklad v bankovnictvi eBanky docili jakekoliv akce (i napriklad pouze zmeny nastaveni, ktera nepotrebuje potvrzeni kodem ze SMS) pomoci clickjackingu.
Nektere aplikace jsou proti clickjackingu odolne i kdyz nezavedly zadnou dodatecnou ochranu - podle me mel na mysli to, ze u tech zminenych nejakou tuhle dodatecnou ochranu (pravdepodobne nejakou variantu frame busting kodu) nasel.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).