Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

Anzeige

"Ich mag das Web", so der Sicherheitsforscher Dan Kaminsky auf der Def-Con-Konferenz. Es habe ein großartiges Sicherheitsmodell, das man so nirgends sonst findet. Doch das Sicherheitskonzept des Netzes führt im Zusammenhang mit einigen Angriffsmöglichkeiten wie Clickjacking zu Einschränkungen, die Kaminsky gern überwinden möchte. Konkret geht es Kaminsky darum, dass eine Webseite in einem Iframe im Moment keine kritischen Nutzerinteraktionen durchführen kann. Mit einem neuen Webstandard namens Ironframe will Kaminsky Abhilfe schaffen.

Zwei wichtige Eigenschaften seien zentral für das Sicherheitsmodell des Webs. Zum einen die sogenannte Same-Origin-Policy, die dafür sorgt, dass Webseiten nicht gegenseitig ihre Inhalte lesen und beeinflussen können. Ganz praktisch heißt das, dass die Webseite von CNN nicht auf die E-Mails in einem Gmail-Account zugreifen kann, der gleichzeitig geöffnet ist. Die Same-Origin-Policy gilt selbst dann, wenn Inhalte verschiedener Webseiten mit Hilfe von Iframes gleichzeitig angezeigt werden. Die zweite wichtige Eigenschaft: Der Nutzer kann sicher auf allen Webseiten surfen und deren Code ausführen, ohne dass eine Gefahr besteht - zumindest solange der Browser gerade keine kritischen Sicherheitslücken aufweist.

Ad Stuffing - indirekt verursacht durch die Same-Origin-Policy

Doch dass die Same-Origin-Policy auch zum Problem werden konnte, wurde Kaminsky klar, als er versuchte, besser zu verstehen, warum Werbung das Netz häufig so langsam macht. Zunehmend tritt ein Problem namens Ad Stuffing auf. Was dabei passiert: Ein Werbehändler bucht Platz auf einer Webseite, doch statt einer einzigen Anzeige fügt er gleich mehrere Anzeigen dort ein, die übereinanderliegen. Für die beteiligten ist das kaum feststellbar. Die Webseite selbst kann wegen der Same-Origin-Policy nicht feststellen, was auf einer eingebundenen Webseite stattfindet. Die Werbeanzeigen können ebenfalls wegen der Same-Origin-Policy nicht feststellen, ob sie überhaupt angezeigt werden. Das Resultat: Der betrügerische Werbehändler kann mehrfach verdienen - und mehrere übereinander gelagerte Werbeanzeigen belasten die CPU des Nutzers.

Kaminsky hat einen Javascript-Code entwickelt, der durch einige Berechnungen in der Lage ist, die aktuelle CPU-Last zu messen - das sei, so Kaminsky, explizit etwas, was man laut IETF nicht tun sollte. Einerseits ist man damit in der Lage, als Webseite möglicherweise zu bemerken, ob ein eingebundenes Werbebanner von einer externen Quelle besonders viel CPU-Last verursacht. Andererseits verstößt eine derartige Methode in gewisser Weise gegen die Same-Origin-Policy, denn dadurch lässt sich in begrenztem Rahmen herausfinden, was auf anderen gerade geladenen Webseiten passiert. Kaminsky sagte, dass das Problem wohl schwierig zu beheben sei, er aber auch nicht sicher sei, ob man es überhaupt beheben sollte.

Eine andere Auswirkung der Same-Origin-Policy führt oft zu Usability-Problemen, die Kaminsky anhand von Twitter erläutert. Wird ein Tweet via Iframe in einer fremden Webseite eingebunden, kann man die Buttons für Follow, Retweet und Favorite nicht direkt anklicken. Vielmehr wird zunächst ein Pop-up geöffnet, das vollständig auf der Twitter-Domain läuft. "Niemand mag Pop-ups", so Kaminsky, doch für Twitter gibt es kaum eine andere Möglichkeit, das zu implementieren. Der Grund sind sogenannte Clickjacking-Angriffe.

Würde Twitter das Retweeten und andere Aktionen direkt in einem Iframe erlauben, könnte man Nutzer mittels Clickjacking dazu bringen, auf die entsprechenden Buttons zu klicken, ohne dass sie wissen, was sie gerade tun. Dazu muss eine Webseite lediglich ein Bild über den entsprechenden Iframe legen oder diesen so klein machen, dass der Nutzer nicht sieht, dass er gerade in Wirklichkeit eine Aktion auf Twitter anklickt, für ihn sieht es so aus, als klicke er ein Element auf der jeweiligen Webseite an.

Clickjacking-Schutz führt zu Usability-Problemen 

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. p.a. GmbH, Poing
  2. über JobLeads GmbH, München
  3. BEGO Medical GmbH Technologiepark Universität, Bremen
  4. Bundeskriminalamt, Meckenheim


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Supernatural, True Blood, Into the West, Perry Mason, Mord ist ihr Hobby)
  3. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)

Folgen Sie uns
       


  1. Twitch

    Videostreamer verdienen am Spieleverkauf

  2. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  3. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  4. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  5. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  6. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  7. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  8. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  9. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  10. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Bodyhacking: Ich, einfach unverbesserlich
Bodyhacking
Ich, einfach unverbesserlich

  1. Re: Hieß es nicht eine Zeit lang, der PC sei...

    Muhaha | 16:55

  2. Re: ist das jetzt Nokia oder nicht ?

    smarty79 | 16:53

  3. Re: XL seats vs geiz-ist-geil

    as (Golem.de) | 16:53

  4. typo

    Brummbär | 16:50

  5. Re: Leider falsche OS

    Unix_Linux | 16:47


  1. 17:06

  2. 16:32

  3. 16:12

  4. 15:33

  5. 14:31

  6. 14:21

  7. 14:16

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel