Sommaire

La sécurité

1. Protection contre le clickjacking

Le clickjacking, ou détournement de clic, est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en l’incitant à cliquer sur des pages apparemment sûres. Le terme de clickjacking a été inventé par Robert Hansen et Jeremiah Grossman (Wikipedia).

Un exemple d’utilisation du clickjacking (http://ratmort.com/blog/adsense-clickjacking)

Un utilisateur arrive sur un site qui semble inoffensif et qui récapitule tous les concerts programmés dans les prochains mois. Celui-ci lui propose de sélectionner une ville dans une liste et de cliquer sur un bouton "Valider" afin de lui présenter une liste de concerts disponibles dans sa région. En réalité, une page Facebook est cachée en transparence. C’est sur cette page que le visiteur clique, sans la voir. Les deux clics qu’il pense effectuer sur le site de concerts correspondent en fait exactement aux emplacements, sur la page de Facebook, qui rend son profil visible à tous, ou encore envoie une invitation à tous ses contacts.

Protéger son site contre le clickjacking

Les navigateurs modernes permettent d’activer une protection contre le clickjacking grâce à l’option X-Frame-Options dans le header HTTP. Cette option indique si la page autorise ou non le navigateur à l’afficher ...