Sta acquisendo una certa notorietà - e facendo preoccupare un buon numero di navigatori - il cosiddetto clickjacking, una sorta di vulnerabilità che colpisce tutti i browser e dalla quale, al momento, non ci sono difese.

La chiamiamo una sorta di vulnerabilità e non una vulnerabilità in senso stretto perché non si tratta di un bug inserito per errore da qualche programmatore ma di un sistema previsto negli standard che potrebbe essere sfruttato da malintenzionati.

Clickjacking è una parola costruita su hijacking (dirottamento): in pratica, si tratta di qualcosa che si può definire come un dirottamento dei click. L'allarme va diffondendosi: prepariamoci a sentire tante variazioni sul tema.

Questo effetto si può ottenere usando Javascript o una cornice Iframe. Nel primo caso il rischio è minore: disattivando Javascript ci si mette temporaneamente al riparo. Tuttavia è meno probabile che sia questo il sistema preferito per ingannare i navigatori: a una tecnica così conosciuta e addirittura descritta nei manuali (non si tratta di un errore di programmazione, ricordiamo) verrà preferito qualcosa di meglio.

È qui che entra in gioco Iframe, un elemento legittimo del linguaggio Html anche se sconsigliato dal W3C. La i sta per inner (interno): un Iframe, dunque, è una cornice interna nascosta in una pagina web.

L'utente che visiterà quella pagina crederà di cliccare sui suoi elementi; in realtà cliccherà su quelli contenuti nell'Iframe (steso come un foglio di plastica trasparente sulla pagina, per usare un'analogia chiara e ampiamente utilizzata) e sarà preda di chi avrà preparato il sito. O, meglio: non sarà più padrone dei propri click.

Non si tratta dunque di una tecnica nuova, di una vulnerabilità sconosciuta improvvisamente apparsa o della distrazione di qualche programmatore: è invece qualcosa che esiste da tempo ma il cui sfruttamento per ingannare gli utenti sta conoscendo una crescita in questo periodo.

Come difendersi, dunque, visto che tutti i browser ne sono affetti (a parte quelli veramente antichi, come Internet Explorer 4 e Netscape 4, che non supportano le caratteristiche necessarie)? Disattivando Javascript, disattivando i plugin, navigando solo su siti sicuri: questo consigliano gli esperti di sicurezza che avrebbero dovuto parlare di questa vulnerabilità all'AppSec Conference 2008.

Avrebbero dovuto parlarne ma poi non se ne è fatto nulla su richiesta di Adobe, che ha scoperto una vulnerabilità legata a questa in uno dei suoi prodotti e ha preferito che non fossero divulgati i dettagli fino a che non sarà pronta una patch. Bisogna poi sottolineare che disattivando Javascript molti siti funzioneranno solo in parte, o non saranno per nulla accessibili.

Non resta, insomma, che aspettare nuove versioni dei browser che avvisino gli utenti quando incontrano siti che contengono iFrame sospetti, o che sfruttano Javascript per catturare i click del mouse. Potrebbe volerci un po', però.

Il consiglio, per ora, è dunque prestare la massima attenzione; anche a quei giochini Flash tanto carini, che proprio per la loro attrattiva potrebbero essere usati per carpire i click degli incauti.