Abo
  • Services:

Clickjacking-Schutz führt zu Usability-Problemen

Der Begriff Clickjacking tauchte erstmals 2008 auf, Browserhersteller haben daraufhin eine Funktion implementiert, in der Webseiten definieren können, dass sie nicht in einem Iframe nutzbar sein möchten. Kontrollieren kann man das mit dem X-Frame-Options-Header und seit kurzem auch über Content-Security-Policy.

Stellenmarkt
  1. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Das Clickjacking-Problem führt zu weiteren Usability-Nachteilen. Will eine Webseite eine Zahlung über Paypal abwickeln, so leitet die Webseite den Nutzer heute auf Paypal weiter, in der Hoffnung, dass, wenn alles klappt, anschließend Paypal den Nutzer automatisch auf die Seite zurückschickt. Das sei, so Kaminsky, vergleichbar mit einem Laden, der seine Kunden nicht direkt bezahlen lässt, sondern erst in ein Zahlungsbüro auf der anderen Straßenseite schickt und sie dann mit einer Zahlungsbestätigung zurückkommen lässt.

Doch Paypal hat keine andere Möglichkeit, dies zu implementieren. Würde Paypal einer fremden Webseite erlauben, seine Zahlungsfunktion einzubinden, hätte man dort keine Möglichkeit, Manipulationen zu verhindern. Eine Webseite könnte beispielsweise einfach dem Nutzer einen falschen Betrag anzeigen und die Zahlung bestätigen lassen.

Flash-Dialog nur aktiv, wenn er sichtbar ist

Ausgerechnet Flash hat einen Lösungsansatz für dieses Problem. Bestimmte Aktionen in Flash-Applets, beispielsweise der Dialog, der den Zugriff auf Kamera und Mikrofon erlaubt, sind nur möglich, wenn das zugehörige Dialogfenster sichtbar ist. Adobe geht sogar so weit, dass die Aktion nur dann erlaubt ist, wenn das Fenster teilweise nicht sichtbar ist. Legt man über den Dialog ein transparentes PNG, dann entscheidet Adobe anhand eines Algorithmus, ob das Dialogfenster noch sichtbar genug ist, um die Aktion zuzulassen.

Flash ist in der Lage, derartige Lösungen zu implementieren, da es als Plugin nativen Code auf dem System ausführen kann und somit Direktzugriff auf die Ausgabe der Grafikkarte hat. Doch das Parsen von Grafikausgaben ist laut Kaminsky generell keine gute Idee, da GPUs darauf optimiert sind, Daten zu empfangen und auszugeben, das Auslesen ist ausgesprochen langsam.

Im W3C entwickelt die User-Interface-Security-Arbeitsgruppe Standards, um entsprechende Probleme zu vermeiden. Kaminsky hatte sich kürzlich zum Invited Expert beim W3C ernennen lassen, um an der Lösung dieses Problems zu arbeiten.

Die Idee von Kaminsky sieht einen sogenannten Ironframe vor. Die Idee dabei: ein Iframe, der immer auf der obersten Ebene im Browser angezeigt wird. Auch wenn ein transparentes Bild darübergelegt wird: Der Iframe wird immer vollständig angezeigt und das Bild wandert in den Hintergrund.

Ist der Iframe aus dem Bildschirm gescrollt, kann er das feststellen. So kann die darin angezeigte Webseite entscheiden, in diesem Fall die Kontrollfunktionen abzuschalten. Um zu verhindern, dass ein Iframe durch einen Angriff mittels Javascript unter die Maus geschoben wird, kann eine Webseite weiterhin feststellen, ob sie erst vor kurzem verschoben wurde. Auch kann eine Webseite feststellen, ob sie gedreht wurde oder andere Transformationen vorgenommen wurden.

Testimplementierung für Chrome

Eine Testimplementierung des Features hat Kaminsky für die Blink-Engine des Chrome-Browsers entwickelt. Sie soll innerhalb der nächsten Wochen veröffentlicht werden. Generell sei die Implementierung aber in allen Browsern auf ähnliche Weise möglich. Dabei musste Kaminsky einiges beachten, denn das Rendering von Webbrowsern ist außerordentlich komplex.

Ein Problem bleibe noch: Wenn ein Nutzer mit einem Element, das zu einer anderen Webseite gehört, agiert, könne er anhand der URL nicht erkennen, um welche Seite es sich handelt. Wenn man auf der Unterseite bereits eingeloggt ist, ist das kein Problem - aber was, wenn die Seite erst Zugangsdaten abfragen möchte? Für diesen Fall hat Kaminsky den Vorschlag, die URL des Iframes neben der Haupt-URL anzuzeigen.

Kaminsky hofft, mit seinem Vorschlag Clickjacking zu verhindern, ohne das Web, wie es funktionieren sollte, einzuschränken. Die Hackercommunity fordert er auf, nicht nur Dinge zum Scheitern zu bringen, sondern auch die Vision eines freien Netzes zu verteidigen.

 Clickjacking: Mehr Web-Usability durch sichtbare Iframes
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (bis zu 500,00€ Direktabzug auf Laptops und PCs)
  2. (u. a. Doom, Fallout 4, Dishonored 2)
  3. (u. a. 2 TB 77,99€, 4 TB 108,99€)
  4. 219,00€

Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...


Folgen Sie uns
       


Sony Xperia L3 - Hands on (MWC 2019)

Sony hat das Xperia L3 auf dem MWC 2019 in Barcelona vorgestellt. Das Einsteiger-Smartphone mit Dual-Kamera steckt in einem schmalen 2:1-Gehäuse. Es hat den Fingerabdrucksensor wieder auf der rechten Seite. Das Smartphone erscheint Anfang März 2019 zum Preis von 200 Euro.

Sony Xperia L3 - Hands on (MWC 2019) Video aufrufen
Westwood Studios: Command & Conquer rockt die GDC 2019
Westwood Studios
Command & Conquer rockt die GDC 2019

GDC 2019 Erst die Gitarrenriffs aus dem Soundtrack, dann Erinnerungen an die Entwicklung von Command & Conquer: Ein Teil des alten Teams hat von der Entstehung des Echtzeit-Strategiespiels erzählt - nicht ohne dabei etwas gegen Executive Producer Brett Sperry zu sticheln.
Von Peter Steinlechner

  1. Command & Conquer Remaster entstehen auf Teilen des ursprünglichen Quellcodes
  2. Command & Conquer Communityvertreter helfen bei Entwicklung von Remaster
  3. C&C Rivals im Test Tiberium für unterwegs

Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Microsoft
Die ganz normale, lautlose Cloud-Apokalypse

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

  1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
  2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
  3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    •  /