新着ブログのページからのリンクに rel="noopener" をつけました
トラフィックエクスチェンジ対策やって、
トラフィックエクスチェンジはフレーム表示でローテーションするものと思ってたが、window.openerで制御するってことも可能か?
ってことを考えていたのですが、
window.openerを利用したフィッシングっていうものがあるらしく、うちの新着ブログのページに rel="noopener" をつけるべきだと思ったのでつけました。
新着ブログのページからユーザーブログを開く。
↓
ユーザーブログがwindow.openerを制御して偽新着ブログのページにリダイレクトする。
↓
リダイレクトに気づかなかったユーザーが偽公式サイトでパスワードを入力する。
ってことができました。
rel="noopener"をつけたので対応したブラウザだとwindow.openerの制御ができなくなりました。
トラフィックエクスチェンジはフレーム表示でローテーションするものと思ってたが、window.openerで制御するってことも可能か?
ってことを考えていたのですが、
window.openerを利用したフィッシングっていうものがあるらしく、うちの新着ブログのページに rel="noopener" をつけるべきだと思ったのでつけました。
新着ブログのページからユーザーブログを開く。
↓
ユーザーブログがwindow.openerを制御して偽新着ブログのページにリダイレクトする。
↓
リダイレクトに気づかなかったユーザーが偽公式サイトでパスワードを入力する。
ってことができました。
rel="noopener"をつけたので対応したブラウザだとwindow.openerの制御ができなくなりました。
window.openerを使ったトラフィックエクスチェンジについては、完全に誰も見ない感じになりますが、技術的には可能な感じです。
で、ローテーションされるページは親ウインドウ側になるわけですが、親ウインドウ側から子ウインドウの存在確認するすべも無く、制御を止めることもできないですね・・・たぶん
あと、今回やられてたトラフィックエクスチェンジはリファラーがあったんで特定できましたが、
リファラーを消すということも可能なんで不完全な対策ですね・・・
で、ローテーションされるページは親ウインドウ側になるわけですが、親ウインドウ側から子ウインドウの存在確認するすべも無く、制御を止めることもできないですね・・・たぶん
あと、今回やられてたトラフィックエクスチェンジはリファラーがあったんで特定できましたが、
リファラーを消すということも可能なんで不完全な対策ですね・・・