2025/01/06 20:02
toaruR
ダブルクリックジャッキングを予防する拡張機能を作ったよ\(^o^)/ chromewebstore.google.com
2025/01/06 20:23
Lian
元記事の動画をみてようやく手口を理解できた。
2025/01/06 20:30
sakito91
この記事みてもさっぱりだったけど原文の方の動画で理解。(悪質なのは置いといて)面白い手法だなと思った。すげーな。
2025/01/06 21:02
anno_ni_msd
そういえば昔ほどブラウジングでダブルクリックしてない気がする
2025/01/06 22:34
makou
"double-clickjacking"なんだな。
2025/01/06 22:44
ogatatsu
単語を選択する時にダブルクリック、1段落を選択するときにトリプルクリックは無意識に結構つかってるかも
2025/01/06 22:44
ton-boo
ブラウザでダブルクリック普通ならあまり使わないよなと思うけど、なんか習慣的にダブルクリックしちゃう人を身近に観測してたりもするのでちょっと気になる……
2025/01/06 22:48
shimayo9
たぶん、evilページ(XSS被攻撃物など含む)を開かなければユーザ目線では防げる。踏ませられて影響があるのは、描画後、ワンクリックで更新系リクエストが飛ぶようなページ(たぶん)。
2025/01/06 22:56
zkq
たしかにここの動画見ないとよくわからんな。気をつけよう。www.paulosyibelo.com
2025/01/06 22:57
roshi
www.paulosyibelo.com ダブルクリックどころかトリプルクリック(1行選択)も使うから対策して欲しい。もしくはこれを機にゲームでよくある一定時間長押しで決定が流行るといいんだけど。
2025/01/06 23:03
bugttehanny
すべて「シングルクリックで実行」にしてる俺に隙はなかった。
2025/01/07 01:24
sinagawaminato
ダブルクリックするかと言われると・・・
2025/01/07 02:14
sabotem
「複数タブが重なった状態でダブルクリックを誘導する→1回目のクリックで一番手前のタブを閉じ、2回目で目的のUIをクリックさせる」のか。背面に回った際はUIが移動するとか要リロードになるとかの対応になるのかな。
2025/01/07 06:21
Muucho
つまりチャタってるマウスは脆弱性なので捨てろということ
2025/01/07 06:22
hobo_king
怖くて気持ち悪い攻撃手法……やだなあ。
2025/01/07 07:08
ls-ltr
クライアントのスペック、ネットの高速化により成功率が上がった手法。実装を容易。ただ、プラットフォーム側でトランザクショントークンを払い出す、CSRFを実装などの基本対策で攻撃成功率はグッと減りそうな気も。
2025/01/07 07:23
suzukiMY
『ダブルクリックジャッキング(ダブルクリックジャック攻撃)』
2025/01/07 07:34
heyacho
嫌すぎる。
2025/01/07 07:39
greenbow
元記事の図がわかりやすい。ダブルクリックと思わせて別々のページでシングルクリックさせるのね。
2025/01/07 07:52
dltlt
「二重クリックジャッキング」とか言うようにしないと Google広告(doubleclick.net)に関係ありそうに見えてしまう。
2025/01/07 08:52
raitu
ダブルクリックジャッキング
2025/01/07 08:53
nonsect
邪悪やなぁ。
2025/01/07 09:27
beeeyond
ログイン情報を盗むのはもちろん、他にも広告を踏ませる手法として流行りそうかなと
2025/01/07 09:47
Helfard
色んなことを考えるものだなあ。
2025/01/07 09:56
eiki_okuma
日常的に大手サービスがダブルクリック使ってるならまだしも、今のところそんなサイトは観たことないので通常のフィッシング対策詐欺で問題なさそうな。
2025/01/07 09:57
outalaw
ブラウザでダブルクリックすることある……?と思ったが、ブコメ見てなるほど、単語だけをコピーしたい場合か
2025/01/07 10:02
pwatermark
オーバーレイ表示、不可視属性、iframe辺りを無くしてしまえばいいのでは 副作用として広告が死ぬけど、別に今の広告業界なら死んでも構わんしな
2025/01/07 10:06
good2nd
動画でボタンが変な位置にあるやつでやっと理解した。別タブのボタンに重ねてるのね。すごく原始的だししょうもないけど危険は危険。ボタンをダブルクリックなんてするか?と思ったけど誘導次第では引っかかりそう
2025/01/07 10:26
ysync
ScriptSafeでScriptそのものを切ってるので。まぁ見れないサイトも多いのだけど、そのページはサンドボックスの未ログインブラウザで見るし。なんかgoogleがScriptSafeを信頼できないから消せと来るんだけど、広告屋の宿痾か。
2025/01/07 11:20
FreeCatWork
良い記事ですね!引き続き応援しています
2025/01/07 11:43
gimonfu_usr
( 原文の動画は時間切れですでに更新されてるっぽい。)
2025/01/07 12:28
redmanharutichi
こわ
2025/01/07 13:07
snowcrush
手が掛かっているわりに普通に詐欺広告をシングルクリックさせるのと変わらん気がするが…
2025/01/07 13:20
kabuquery
どんなにブラウザをjavascriptで操作しても無理な気がするが
2025/01/07 14:42
trick7star
ふつうは、ダブルクリックしなくてもブラウジングできるはずだけど、[反応悪いな]とか思ったら連打しているかもしれない、、、怖い脆弱性だ。
2025/01/07 15:14
rryu
従来のクリックジャッキング対策は攻撃対象のサイトをframe等に入れさせないことで行なっていたが、これは完全に別ウインドウなので無効ということか。うっかりクリックさせる広告に近い。
2025/01/07 18:41
harumomo2006
理解するのに時間がかかった
2025/01/07 19:05
NOV1975
クリックした時点であかんやつがあるのがそもそもおかしい
2025/01/07 19:21
morisoba5
「(後ろ側のページを)すり替えておいたのさ!」「ほ いつの間に!」/ 小学生の悪戯みたいな発想だがそれを実用的な攻撃に落とし込むのがすごい
2025/01/07 20:17
noname774300
おもろい
2025/01/08 17:30
netafull
“「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」”