Abo
  • Services:

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

Artikel veröffentlicht am , Hanno Böck
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

"Ich mag das Web", so der Sicherheitsforscher Dan Kaminsky auf der Def-Con-Konferenz. Es habe ein großartiges Sicherheitsmodell, das man so nirgends sonst findet. Doch das Sicherheitskonzept des Netzes führt im Zusammenhang mit einigen Angriffsmöglichkeiten wie Clickjacking zu Einschränkungen, die Kaminsky gern überwinden möchte. Konkret geht es Kaminsky darum, dass eine Webseite in einem Iframe im Moment keine kritischen Nutzerinteraktionen durchführen kann. Mit einem neuen Webstandard namens Ironframe will Kaminsky Abhilfe schaffen.

Inhalt:
  1. Clickjacking: Mehr Web-Usability durch sichtbare Iframes
  2. Clickjacking-Schutz führt zu Usability-Problemen

Zwei wichtige Eigenschaften seien zentral für das Sicherheitsmodell des Webs. Zum einen die sogenannte Same-Origin-Policy, die dafür sorgt, dass Webseiten nicht gegenseitig ihre Inhalte lesen und beeinflussen können. Ganz praktisch heißt das, dass die Webseite von CNN nicht auf die E-Mails in einem Gmail-Account zugreifen kann, der gleichzeitig geöffnet ist. Die Same-Origin-Policy gilt selbst dann, wenn Inhalte verschiedener Webseiten mit Hilfe von Iframes gleichzeitig angezeigt werden. Die zweite wichtige Eigenschaft: Der Nutzer kann sicher auf allen Webseiten surfen und deren Code ausführen, ohne dass eine Gefahr besteht - zumindest solange der Browser gerade keine kritischen Sicherheitslücken aufweist.

Ad Stuffing - indirekt verursacht durch die Same-Origin-Policy

Doch dass die Same-Origin-Policy auch zum Problem werden konnte, wurde Kaminsky klar, als er versuchte, besser zu verstehen, warum Werbung das Netz häufig so langsam macht. Zunehmend tritt ein Problem namens Ad Stuffing auf. Was dabei passiert: Ein Werbehändler bucht Platz auf einer Webseite, doch statt einer einzigen Anzeige fügt er gleich mehrere Anzeigen dort ein, die übereinanderliegen. Für die beteiligten ist das kaum feststellbar. Die Webseite selbst kann wegen der Same-Origin-Policy nicht feststellen, was auf einer eingebundenen Webseite stattfindet. Die Werbeanzeigen können ebenfalls wegen der Same-Origin-Policy nicht feststellen, ob sie überhaupt angezeigt werden. Das Resultat: Der betrügerische Werbehändler kann mehrfach verdienen - und mehrere übereinander gelagerte Werbeanzeigen belasten die CPU des Nutzers.

Kaminsky hat einen Javascript-Code entwickelt, der durch einige Berechnungen in der Lage ist, die aktuelle CPU-Last zu messen - das sei, so Kaminsky, explizit etwas, was man laut IETF nicht tun sollte. Einerseits ist man damit in der Lage, als Webseite möglicherweise zu bemerken, ob ein eingebundenes Werbebanner von einer externen Quelle besonders viel CPU-Last verursacht. Andererseits verstößt eine derartige Methode in gewisser Weise gegen die Same-Origin-Policy, denn dadurch lässt sich in begrenztem Rahmen herausfinden, was auf anderen gerade geladenen Webseiten passiert. Kaminsky sagte, dass das Problem wohl schwierig zu beheben sei, er aber auch nicht sicher sei, ob man es überhaupt beheben sollte.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Eine andere Auswirkung der Same-Origin-Policy führt oft zu Usability-Problemen, die Kaminsky anhand von Twitter erläutert. Wird ein Tweet via Iframe in einer fremden Webseite eingebunden, kann man die Buttons für Follow, Retweet und Favorite nicht direkt anklicken. Vielmehr wird zunächst ein Pop-up geöffnet, das vollständig auf der Twitter-Domain läuft. "Niemand mag Pop-ups", so Kaminsky, doch für Twitter gibt es kaum eine andere Möglichkeit, das zu implementieren. Der Grund sind sogenannte Clickjacking-Angriffe.

Würde Twitter das Retweeten und andere Aktionen direkt in einem Iframe erlauben, könnte man Nutzer mittels Clickjacking dazu bringen, auf die entsprechenden Buttons zu klicken, ohne dass sie wissen, was sie gerade tun. Dazu muss eine Webseite lediglich ein Bild über den entsprechenden Iframe legen oder diesen so klein machen, dass der Nutzer nicht sieht, dass er gerade in Wirklichkeit eine Aktion auf Twitter anklickt, für ihn sieht es so aus, als klicke er ein Element auf der jeweiligen Webseite an.

Clickjacking-Schutz führt zu Usability-Problemen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-63%) 34,99€
  2. 2,99€
  3. (-76%) 3,60€

Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...


Folgen Sie uns
       


Apple Pay ausprobiert

Dank Apple Pay können nun auch Nutzer in Deutschland kontaktlos mit ihrem iPhone bezahlen. Wir haben den Dienst bei unserem Lieblingscafé ausprobiert.

Apple Pay ausprobiert Video aufrufen
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Slighter im Hands on: Wenn das Feuerzeug smarter als der Raucher ist
Slighter im Hands on
Wenn das Feuerzeug smarter als der Raucher ist

CES 2019 Mit Slighter könnte ausgerechnet ein Feuerzeug Rauchern beim Aufhören helfen: Ausgehend von den Rauchgewohnheiten erstellt es einen Plan - und gibt nur zu ganz bestimmten Zeiten eine Flamme.
Ein Hands on von Tobias Költzsch

  1. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show
  2. Royole Flexpai im Hands on Display top, Software flop
  3. Alienware Area 51m angesehen Aufrüstbares Gaming-Notebook mit frischem Design

Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  2. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor
  3. Turing-Grafikkarte Nvidia plant Geforce RTX 2060

    •  /