Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking-Schutz führt zu Usability-Problemen

Anzeige

Der Begriff Clickjacking tauchte erstmals 2008 auf, Browserhersteller haben daraufhin eine Funktion implementiert, in der Webseiten definieren können, dass sie nicht in einem Iframe nutzbar sein möchten. Kontrollieren kann man das mit dem X-Frame-Options-Header und seit kurzem auch über Content-Security-Policy.

Das Clickjacking-Problem führt zu weiteren Usability-Nachteilen. Will eine Webseite eine Zahlung über Paypal abwickeln, so leitet die Webseite den Nutzer heute auf Paypal weiter, in der Hoffnung, dass, wenn alles klappt, anschließend Paypal den Nutzer automatisch auf die Seite zurückschickt. Das sei, so Kaminsky, vergleichbar mit einem Laden, der seine Kunden nicht direkt bezahlen lässt, sondern erst in ein Zahlungsbüro auf der anderen Straßenseite schickt und sie dann mit einer Zahlungsbestätigung zurückkommen lässt.

Doch Paypal hat keine andere Möglichkeit, dies zu implementieren. Würde Paypal einer fremden Webseite erlauben, seine Zahlungsfunktion einzubinden, hätte man dort keine Möglichkeit, Manipulationen zu verhindern. Eine Webseite könnte beispielsweise einfach dem Nutzer einen falschen Betrag anzeigen und die Zahlung bestätigen lassen.

Flash-Dialog nur aktiv, wenn er sichtbar ist

Ausgerechnet Flash hat einen Lösungsansatz für dieses Problem. Bestimmte Aktionen in Flash-Applets, beispielsweise der Dialog, der den Zugriff auf Kamera und Mikrofon erlaubt, sind nur möglich, wenn das zugehörige Dialogfenster sichtbar ist. Adobe geht sogar so weit, dass die Aktion nur dann erlaubt ist, wenn das Fenster teilweise nicht sichtbar ist. Legt man über den Dialog ein transparentes PNG, dann entscheidet Adobe anhand eines Algorithmus, ob das Dialogfenster noch sichtbar genug ist, um die Aktion zuzulassen.

Flash ist in der Lage, derartige Lösungen zu implementieren, da es als Plugin nativen Code auf dem System ausführen kann und somit Direktzugriff auf die Ausgabe der Grafikkarte hat. Doch das Parsen von Grafikausgaben ist laut Kaminsky generell keine gute Idee, da GPUs darauf optimiert sind, Daten zu empfangen und auszugeben, das Auslesen ist ausgesprochen langsam.

Im W3C entwickelt die User-Interface-Security-Arbeitsgruppe Standards, um entsprechende Probleme zu vermeiden. Kaminsky hatte sich kürzlich zum Invited Expert beim W3C ernennen lassen, um an der Lösung dieses Problems zu arbeiten.

Die Idee von Kaminsky sieht einen sogenannten Ironframe vor. Die Idee dabei: ein Iframe, der immer auf der obersten Ebene im Browser angezeigt wird. Auch wenn ein transparentes Bild darübergelegt wird: Der Iframe wird immer vollständig angezeigt und das Bild wandert in den Hintergrund.

Ist der Iframe aus dem Bildschirm gescrollt, kann er das feststellen. So kann die darin angezeigte Webseite entscheiden, in diesem Fall die Kontrollfunktionen abzuschalten. Um zu verhindern, dass ein Iframe durch einen Angriff mittels Javascript unter die Maus geschoben wird, kann eine Webseite weiterhin feststellen, ob sie erst vor kurzem verschoben wurde. Auch kann eine Webseite feststellen, ob sie gedreht wurde oder andere Transformationen vorgenommen wurden.

Testimplementierung für Chrome

Eine Testimplementierung des Features hat Kaminsky für die Blink-Engine des Chrome-Browsers entwickelt. Sie soll innerhalb der nächsten Wochen veröffentlicht werden. Generell sei die Implementierung aber in allen Browsern auf ähnliche Weise möglich. Dabei musste Kaminsky einiges beachten, denn das Rendering von Webbrowsern ist außerordentlich komplex.

Ein Problem bleibe noch: Wenn ein Nutzer mit einem Element, das zu einer anderen Webseite gehört, agiert, könne er anhand der URL nicht erkennen, um welche Seite es sich handelt. Wenn man auf der Unterseite bereits eingeloggt ist, ist das kein Problem - aber was, wenn die Seite erst Zugangsdaten abfragen möchte? Für diesen Fall hat Kaminsky den Vorschlag, die URL des Iframes neben der Haupt-URL anzuzeigen.

Kaminsky hofft, mit seinem Vorschlag Clickjacking zu verhindern, ohne das Web, wie es funktionieren sollte, einzuschränken. Die Hackercommunity fordert er auf, nicht nur Dinge zum Scheitern zu bringen, sondern auch die Vision eines freien Netzes zu verteidigen.

 Clickjacking: Mehr Web-Usability durch sichtbare Iframes

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Technische Universität Darmstadt, Darmstadt
  3. Landesbetrieb IT.Niedersachsen, Hannover
  4. Deutsche Telekom IT GmbH, Darmstadt


Anzeige
Top-Angebote
  1. heute bis zu 27% günstiger
  2. (u. a. Angebote aus den Bereichen Games, Konsolen, TV, Film, Computer)
  3. 59,90€ statt 69,90€

Folgen Sie uns
       


  1. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  2. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  3. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  4. Datenbank

    MongoDB bereitet offenbar Börsengang vor

  5. Spielemesse

    Entwickler von Playerunknown's Battlegrounds hält Keynote

  6. Matias Ergo Pro Keyboard im Test

    Die Exzentrische unter den Tastaturen

  7. Deeplearn.js

    Google bringt Deep Learning in den Browser

  8. Satellitennavigation

    Sapcorda will auf Zentimeter genau orten

  9. Nach Beschwerden

    Google löscht Links zu Insolvenzdatenbanken

  10. Arena of Valor

    Tencent veröffentlicht Sucht-Moba in Europa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

Mercedes S-Klasse im Test: Das selbstfahrende Auto ist schon sehr nahe
Mercedes S-Klasse im Test
Das selbstfahrende Auto ist schon sehr nahe
  1. 3M Verkehrsschilder informieren autonom fahrende Autos
  2. Waymo Autonomes Auto zerstört sich beim Unfall mit Fußgängern
  3. Mobileye Intel will 100 autonom fahrende Autos auf die Straßen lassen

  1. Re: gemeinnützigen Organisation?

    Dwalinn | 15:01

  2. Re: Versteh den Sinn nicht

    fsch | 15:01

  3. Re: Mit StarCraft 2 konnte ich mich nicht...

    Legolas87 | 15:00

  4. Re: Apple Nutzer

    fsch | 14:59

  5. Re: Horizontal versetzte Tasten

    DummyAccount | 14:57


  1. 14:49

  2. 13:50

  3. 13:27

  4. 13:11

  5. 12:20

  6. 12:01

  7. 11:54

  8. 11:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel