Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking-Schutz führt zu Usability-Problemen

Anzeige

Der Begriff Clickjacking tauchte erstmals 2008 auf, Browserhersteller haben daraufhin eine Funktion implementiert, in der Webseiten definieren können, dass sie nicht in einem Iframe nutzbar sein möchten. Kontrollieren kann man das mit dem X-Frame-Options-Header und seit kurzem auch über Content-Security-Policy.

Das Clickjacking-Problem führt zu weiteren Usability-Nachteilen. Will eine Webseite eine Zahlung über Paypal abwickeln, so leitet die Webseite den Nutzer heute auf Paypal weiter, in der Hoffnung, dass, wenn alles klappt, anschließend Paypal den Nutzer automatisch auf die Seite zurückschickt. Das sei, so Kaminsky, vergleichbar mit einem Laden, der seine Kunden nicht direkt bezahlen lässt, sondern erst in ein Zahlungsbüro auf der anderen Straßenseite schickt und sie dann mit einer Zahlungsbestätigung zurückkommen lässt.

Doch Paypal hat keine andere Möglichkeit, dies zu implementieren. Würde Paypal einer fremden Webseite erlauben, seine Zahlungsfunktion einzubinden, hätte man dort keine Möglichkeit, Manipulationen zu verhindern. Eine Webseite könnte beispielsweise einfach dem Nutzer einen falschen Betrag anzeigen und die Zahlung bestätigen lassen.

Flash-Dialog nur aktiv, wenn er sichtbar ist

Ausgerechnet Flash hat einen Lösungsansatz für dieses Problem. Bestimmte Aktionen in Flash-Applets, beispielsweise der Dialog, der den Zugriff auf Kamera und Mikrofon erlaubt, sind nur möglich, wenn das zugehörige Dialogfenster sichtbar ist. Adobe geht sogar so weit, dass die Aktion nur dann erlaubt ist, wenn das Fenster teilweise nicht sichtbar ist. Legt man über den Dialog ein transparentes PNG, dann entscheidet Adobe anhand eines Algorithmus, ob das Dialogfenster noch sichtbar genug ist, um die Aktion zuzulassen.

Flash ist in der Lage, derartige Lösungen zu implementieren, da es als Plugin nativen Code auf dem System ausführen kann und somit Direktzugriff auf die Ausgabe der Grafikkarte hat. Doch das Parsen von Grafikausgaben ist laut Kaminsky generell keine gute Idee, da GPUs darauf optimiert sind, Daten zu empfangen und auszugeben, das Auslesen ist ausgesprochen langsam.

Im W3C entwickelt die User-Interface-Security-Arbeitsgruppe Standards, um entsprechende Probleme zu vermeiden. Kaminsky hatte sich kürzlich zum Invited Expert beim W3C ernennen lassen, um an der Lösung dieses Problems zu arbeiten.

Die Idee von Kaminsky sieht einen sogenannten Ironframe vor. Die Idee dabei: ein Iframe, der immer auf der obersten Ebene im Browser angezeigt wird. Auch wenn ein transparentes Bild darübergelegt wird: Der Iframe wird immer vollständig angezeigt und das Bild wandert in den Hintergrund.

Ist der Iframe aus dem Bildschirm gescrollt, kann er das feststellen. So kann die darin angezeigte Webseite entscheiden, in diesem Fall die Kontrollfunktionen abzuschalten. Um zu verhindern, dass ein Iframe durch einen Angriff mittels Javascript unter die Maus geschoben wird, kann eine Webseite weiterhin feststellen, ob sie erst vor kurzem verschoben wurde. Auch kann eine Webseite feststellen, ob sie gedreht wurde oder andere Transformationen vorgenommen wurden.

Testimplementierung für Chrome

Eine Testimplementierung des Features hat Kaminsky für die Blink-Engine des Chrome-Browsers entwickelt. Sie soll innerhalb der nächsten Wochen veröffentlicht werden. Generell sei die Implementierung aber in allen Browsern auf ähnliche Weise möglich. Dabei musste Kaminsky einiges beachten, denn das Rendering von Webbrowsern ist außerordentlich komplex.

Ein Problem bleibe noch: Wenn ein Nutzer mit einem Element, das zu einer anderen Webseite gehört, agiert, könne er anhand der URL nicht erkennen, um welche Seite es sich handelt. Wenn man auf der Unterseite bereits eingeloggt ist, ist das kein Problem - aber was, wenn die Seite erst Zugangsdaten abfragen möchte? Für diesen Fall hat Kaminsky den Vorschlag, die URL des Iframes neben der Haupt-URL anzuzeigen.

Kaminsky hofft, mit seinem Vorschlag Clickjacking zu verhindern, ohne das Web, wie es funktionieren sollte, einzuschränken. Die Hackercommunity fordert er auf, nicht nur Dinge zum Scheitern zu bringen, sondern auch die Vision eines freien Netzes zu verteidigen.

 Clickjacking: Mehr Web-Usability durch sichtbare Iframes

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte
  2. Engelhorn KGaA, Mannheim
  3. HIT Hanseatische Inkasso-Treuhand GmbH, Hamburg
  4. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

  1. Re: Wieviel Energie benötigt es, um von Europa...

    voxeldesert | 19:06

  2. Re: Das ist ein Fehler

    GangnamStyle | 19:04

  3. Re: Gab es irgendjemanden

    gakusei | 19:04

  4. Re: Mal sehen, wie das bei den "echten deutschen...

    gakusei | 19:02

  5. Re: Absicht?

    Sharra | 18:59


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel