Abo
  • Services:

Clickjacking-Schutz führt zu Usability-Problemen

Der Begriff Clickjacking tauchte erstmals 2008 auf, Browserhersteller haben daraufhin eine Funktion implementiert, in der Webseiten definieren können, dass sie nicht in einem Iframe nutzbar sein möchten. Kontrollieren kann man das mit dem X-Frame-Options-Header und seit kurzem auch über Content-Security-Policy.

Stellenmarkt
  1. SIGMA-ELEKTRO GmbH, Neustadt an der Weinstraße (Home-Office möglich)
  2. Hays AG, Ludwigsburg

Das Clickjacking-Problem führt zu weiteren Usability-Nachteilen. Will eine Webseite eine Zahlung über Paypal abwickeln, so leitet die Webseite den Nutzer heute auf Paypal weiter, in der Hoffnung, dass, wenn alles klappt, anschließend Paypal den Nutzer automatisch auf die Seite zurückschickt. Das sei, so Kaminsky, vergleichbar mit einem Laden, der seine Kunden nicht direkt bezahlen lässt, sondern erst in ein Zahlungsbüro auf der anderen Straßenseite schickt und sie dann mit einer Zahlungsbestätigung zurückkommen lässt.

Doch Paypal hat keine andere Möglichkeit, dies zu implementieren. Würde Paypal einer fremden Webseite erlauben, seine Zahlungsfunktion einzubinden, hätte man dort keine Möglichkeit, Manipulationen zu verhindern. Eine Webseite könnte beispielsweise einfach dem Nutzer einen falschen Betrag anzeigen und die Zahlung bestätigen lassen.

Flash-Dialog nur aktiv, wenn er sichtbar ist

Ausgerechnet Flash hat einen Lösungsansatz für dieses Problem. Bestimmte Aktionen in Flash-Applets, beispielsweise der Dialog, der den Zugriff auf Kamera und Mikrofon erlaubt, sind nur möglich, wenn das zugehörige Dialogfenster sichtbar ist. Adobe geht sogar so weit, dass die Aktion nur dann erlaubt ist, wenn das Fenster teilweise nicht sichtbar ist. Legt man über den Dialog ein transparentes PNG, dann entscheidet Adobe anhand eines Algorithmus, ob das Dialogfenster noch sichtbar genug ist, um die Aktion zuzulassen.

Flash ist in der Lage, derartige Lösungen zu implementieren, da es als Plugin nativen Code auf dem System ausführen kann und somit Direktzugriff auf die Ausgabe der Grafikkarte hat. Doch das Parsen von Grafikausgaben ist laut Kaminsky generell keine gute Idee, da GPUs darauf optimiert sind, Daten zu empfangen und auszugeben, das Auslesen ist ausgesprochen langsam.

Im W3C entwickelt die User-Interface-Security-Arbeitsgruppe Standards, um entsprechende Probleme zu vermeiden. Kaminsky hatte sich kürzlich zum Invited Expert beim W3C ernennen lassen, um an der Lösung dieses Problems zu arbeiten.

Die Idee von Kaminsky sieht einen sogenannten Ironframe vor. Die Idee dabei: ein Iframe, der immer auf der obersten Ebene im Browser angezeigt wird. Auch wenn ein transparentes Bild darübergelegt wird: Der Iframe wird immer vollständig angezeigt und das Bild wandert in den Hintergrund.

Ist der Iframe aus dem Bildschirm gescrollt, kann er das feststellen. So kann die darin angezeigte Webseite entscheiden, in diesem Fall die Kontrollfunktionen abzuschalten. Um zu verhindern, dass ein Iframe durch einen Angriff mittels Javascript unter die Maus geschoben wird, kann eine Webseite weiterhin feststellen, ob sie erst vor kurzem verschoben wurde. Auch kann eine Webseite feststellen, ob sie gedreht wurde oder andere Transformationen vorgenommen wurden.

Testimplementierung für Chrome

Eine Testimplementierung des Features hat Kaminsky für die Blink-Engine des Chrome-Browsers entwickelt. Sie soll innerhalb der nächsten Wochen veröffentlicht werden. Generell sei die Implementierung aber in allen Browsern auf ähnliche Weise möglich. Dabei musste Kaminsky einiges beachten, denn das Rendering von Webbrowsern ist außerordentlich komplex.

Ein Problem bleibe noch: Wenn ein Nutzer mit einem Element, das zu einer anderen Webseite gehört, agiert, könne er anhand der URL nicht erkennen, um welche Seite es sich handelt. Wenn man auf der Unterseite bereits eingeloggt ist, ist das kein Problem - aber was, wenn die Seite erst Zugangsdaten abfragen möchte? Für diesen Fall hat Kaminsky den Vorschlag, die URL des Iframes neben der Haupt-URL anzuzeigen.

Kaminsky hofft, mit seinem Vorschlag Clickjacking zu verhindern, ohne das Web, wie es funktionieren sollte, einzuschränken. Die Hackercommunity fordert er auf, nicht nur Dinge zum Scheitern zu bringen, sondern auch die Vision eines freien Netzes zu verteidigen.

 Clickjacking: Mehr Web-Usability durch sichtbare Iframes
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /