Clickjacking: když stránka koná bez vašeho vědomí

Zdroják » Zprávičky » Clickjacking: když stránka koná bez vašeho vědomí

Nálepky:

O vážném bezpečnostním problému zvaném clickjacking jsme se nedávno zmiňovali. Dnes přidáme několik dalších zdrojů. Zajímavou půlhodinovou přednášku, kterou měli Robert Hansen a Jeremiah Grossman na toto téma, najdete na Google Video. Stejní autoři napsali i článek, ve kterém na screenshotech ukazují, jak k problému může dojít.

Článek About CSS Attacks pak ukazuje několik jednoduchých příkladů realizace clickjackingu mj. na Gmailu a Twitteru (pokud obě aplikace používáte, tak aspoň vidíte, že v tuhle chvíli nejste nijak před clickjackingem chráněni!).

(Zdroj: Hackademix)

Martin Hassman

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat

2 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

17 let před

ale že je všude CSS to nikoho nezajímá :)

Odpovědět

hlína

17 let před

no já se do takovýchto hovadin ohledně webu nevyznám, ale v noscriptu je na to volba a už to na mě i několikrát vyskočilo že se stránka pokouší o clickjacking, bylo to na nějakých stránkách jako stream.cz nebo checknito, kdy stránka šla nějak nestandartně pro video na youtube

Odpovědět

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

OpenTelemetry v JavaScriptu má smysl hlavně v Node.js: stabilní jsou traces a metrics, logs zůstávají ve vývoji a browserová instrumentace je experimentální. SDK ale není architektura observability. Sampling, sanitizaci citlivých atributů, kardinalitu i export má držet Collector, ne samotná aplikace.

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

Více agentů musí být rychlejší než jeden, ne? Miodrag Todorović z JigJoy postavil baro - CLI, které paralelně spouští pět Claude sezení místo jednoho - a postavil ho proti novému příkazu /goal v Claude Code. Čekal jasnou výhru paralelismu. Místo toho prohrál v čase, v tokenech i v kvalitě výsledného kódu. Z analýzy tří konkrétních selhání ale vyšel jeden nečekaný závěr: problém nebyl v koordinaci mezi agenty, ale v rozhodnutích, která padla ještě před tím, než se kdokoli z nich probudil. Oprava trvala 200 řádků kódu - a v odvetě baro porazilo /goal o 4 minuty.

WebGPU už mají všechny hlavní enginy. Hotový standard z něj W3C dělat nechce

Na jaře 2026 už WebGPU není jen záležitost Chromia nebo preview buildů. Chrome, Edge, Safari i Firefox ho dodávají v produkčních verzích, ale ne na stejných platfórmach a ne se stejnými limity. WebGPU navíc podle aktuální charty pracovní skupiny nemíří z Candidate Recommendation do W3C Recommendation. Pro vývojáře je proto důležitější konkrétní podpora, fallbacky a limity paměti než formální status standardu.

Clickjacking: když stránka koná bez vašeho vědomí

Nálepky:

Martin Hassman

Komentáře

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

WebGPU už mají všechny hlavní enginy. Hotový standard z něj W3C dělat nechce

Sledujte Zdroják:

Hádej co? Cookies!