Bij clickjacking wordt op een website bovenop een normale button een knop geplaatst die acties van de gebruikers kaapt. De clickjacking button is niet zichtbaar, maar de gevolgen kunnen groot zijn. Zo kunnen cybercriminelen door middel van clickjacking ongewild en ongemerkt door de gebruiker aandelen handelen op financiële websites of de routerinstellingen wijzigen. Clickjacking wordt onder meer gebruikt met Javascript, iFrames en normale frames.

Speciale tags nodig

In november werd bekend dat er in Internet Explorer 8 een beveiliging tegen clickjacking zou komen. Die is er nu met de eerste release candidate.

Bij de oplossing die in Microsoft in Internet Explorer 8 heeft ingebouwd, moeten websitebouwers speciale tags in de pagina’s inbouwen die ervoor zorgen dat de buttons niet misbruikt worden. Elke site moet hiervoor dus afzonderlijk aangepast worden.

Volgens Robert Hansen, CEO van SecTheory, duurt het nog jaren voordat deze oplossing overal is ingevoerd, ‘zelfs als iedereen beslist dat dit de goede manier is’. “Wel is het interessant om te zien dat ze het probleem serieus nemen”, zegt Hansen. Hij heeft inmiddels bij Microsoft melding gemaakt van de in zijn ogen slechte oplossing.

De eerste release candidate van Internet Explorer 8 werd maandagavond door Microsoft gelanceerd.

Giorgio Maone, ontwikkelaar van de Firefox NoScript plugin, zegt dat gebruikers van Internet Explorer 8 nu ten onrechte het gevoel kunnen krijgen dat ze veilig zijn. Het is volgens hem voor eindgebruikers onmogelijk om te controleren of een site gevrijwaard is van clickjacking.

Bij Firefox NoScript kunnen gebruikers van Firefox selectief het gebruik van scripting tegengaan. Omdat clickjacking gebruik maakt van een script, werkt dit niet als de plug-in is geïnstalleerd.

Hansen en Maone bekritiseren Microsoft vanwege het feit dat er geen details over de techniek worden vrijgegeven. Microsoft zegt dat er binnenkort een blogpost komt waarin meer details over de clickjacking fix naar buiten komen.