Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking-Schutz führt zu Usability-Problemen

Anzeige

Der Begriff Clickjacking tauchte erstmals 2008 auf, Browserhersteller haben daraufhin eine Funktion implementiert, in der Webseiten definieren können, dass sie nicht in einem Iframe nutzbar sein möchten. Kontrollieren kann man das mit dem X-Frame-Options-Header und seit kurzem auch über Content-Security-Policy.

Das Clickjacking-Problem führt zu weiteren Usability-Nachteilen. Will eine Webseite eine Zahlung über Paypal abwickeln, so leitet die Webseite den Nutzer heute auf Paypal weiter, in der Hoffnung, dass, wenn alles klappt, anschließend Paypal den Nutzer automatisch auf die Seite zurückschickt. Das sei, so Kaminsky, vergleichbar mit einem Laden, der seine Kunden nicht direkt bezahlen lässt, sondern erst in ein Zahlungsbüro auf der anderen Straßenseite schickt und sie dann mit einer Zahlungsbestätigung zurückkommen lässt.

Doch Paypal hat keine andere Möglichkeit, dies zu implementieren. Würde Paypal einer fremden Webseite erlauben, seine Zahlungsfunktion einzubinden, hätte man dort keine Möglichkeit, Manipulationen zu verhindern. Eine Webseite könnte beispielsweise einfach dem Nutzer einen falschen Betrag anzeigen und die Zahlung bestätigen lassen.

Flash-Dialog nur aktiv, wenn er sichtbar ist

Ausgerechnet Flash hat einen Lösungsansatz für dieses Problem. Bestimmte Aktionen in Flash-Applets, beispielsweise der Dialog, der den Zugriff auf Kamera und Mikrofon erlaubt, sind nur möglich, wenn das zugehörige Dialogfenster sichtbar ist. Adobe geht sogar so weit, dass die Aktion nur dann erlaubt ist, wenn das Fenster teilweise nicht sichtbar ist. Legt man über den Dialog ein transparentes PNG, dann entscheidet Adobe anhand eines Algorithmus, ob das Dialogfenster noch sichtbar genug ist, um die Aktion zuzulassen.

Flash ist in der Lage, derartige Lösungen zu implementieren, da es als Plugin nativen Code auf dem System ausführen kann und somit Direktzugriff auf die Ausgabe der Grafikkarte hat. Doch das Parsen von Grafikausgaben ist laut Kaminsky generell keine gute Idee, da GPUs darauf optimiert sind, Daten zu empfangen und auszugeben, das Auslesen ist ausgesprochen langsam.

Im W3C entwickelt die User-Interface-Security-Arbeitsgruppe Standards, um entsprechende Probleme zu vermeiden. Kaminsky hatte sich kürzlich zum Invited Expert beim W3C ernennen lassen, um an der Lösung dieses Problems zu arbeiten.

Die Idee von Kaminsky sieht einen sogenannten Ironframe vor. Die Idee dabei: ein Iframe, der immer auf der obersten Ebene im Browser angezeigt wird. Auch wenn ein transparentes Bild darübergelegt wird: Der Iframe wird immer vollständig angezeigt und das Bild wandert in den Hintergrund.

Ist der Iframe aus dem Bildschirm gescrollt, kann er das feststellen. So kann die darin angezeigte Webseite entscheiden, in diesem Fall die Kontrollfunktionen abzuschalten. Um zu verhindern, dass ein Iframe durch einen Angriff mittels Javascript unter die Maus geschoben wird, kann eine Webseite weiterhin feststellen, ob sie erst vor kurzem verschoben wurde. Auch kann eine Webseite feststellen, ob sie gedreht wurde oder andere Transformationen vorgenommen wurden.

Testimplementierung für Chrome

Eine Testimplementierung des Features hat Kaminsky für die Blink-Engine des Chrome-Browsers entwickelt. Sie soll innerhalb der nächsten Wochen veröffentlicht werden. Generell sei die Implementierung aber in allen Browsern auf ähnliche Weise möglich. Dabei musste Kaminsky einiges beachten, denn das Rendering von Webbrowsern ist außerordentlich komplex.

Ein Problem bleibe noch: Wenn ein Nutzer mit einem Element, das zu einer anderen Webseite gehört, agiert, könne er anhand der URL nicht erkennen, um welche Seite es sich handelt. Wenn man auf der Unterseite bereits eingeloggt ist, ist das kein Problem - aber was, wenn die Seite erst Zugangsdaten abfragen möchte? Für diesen Fall hat Kaminsky den Vorschlag, die URL des Iframes neben der Haupt-URL anzuzeigen.

Kaminsky hofft, mit seinem Vorschlag Clickjacking zu verhindern, ohne das Web, wie es funktionieren sollte, einzuschränken. Die Hackercommunity fordert er auf, nicht nur Dinge zum Scheitern zu bringen, sondern auch die Vision eines freien Netzes zu verteidigen.

 Clickjacking: Mehr Web-Usability durch sichtbare Iframes

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Daimler AG, Esslingen
  3. Eurofins NSC Finance Germany GmbH, Wesseling, Köln
  4. operational services GmbH & Co. KG, Frankfurt


Anzeige
Top-Angebote
  1. 1169,00€
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       


  1. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  2. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

  3. Onlinewerbung

    Forscher stoppen monatelange Malvertising-Kampagne

  4. Steep im Test

    Frei und einsam beim Bergsport

  5. Streaming

    Netflix-Nutzer wollen keine Topfilme

  6. Star Wars Rogue One VR Angespielt

    "S-Flügel in Angriffsposition!"

  7. Kaufberatung

    Die richtige CPU und Grafikkarte

  8. Android

    Google kann Größe von App-Updates weiter verringern

  9. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  10. Webmailer

    Mit einer Mail Code in Roundcube ausführen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Zeigt wie Lächerlich die Idee ist, Akkus als...

    pointX | 15:15

  2. Re: Schwungradgeneratoren - preiswerter und...

    pica | 15:13

  3. Solange sich wie immer am Preis/TB nichts tut...

    Fuchur | 15:10

  4. Re: Kaufmännische Argumentation

    Kondratieff | 15:10

  5. Re: Gute aktuelle Topfilme sind auch sehr selten...

    lear | 15:10


  1. 14:43

  2. 14:20

  3. 14:07

  4. 14:00

  5. 13:10

  6. 12:25

  7. 11:59

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel