Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

Anzeige

"Ich mag das Web", so der Sicherheitsforscher Dan Kaminsky auf der Def-Con-Konferenz. Es habe ein großartiges Sicherheitsmodell, das man so nirgends sonst findet. Doch das Sicherheitskonzept des Netzes führt im Zusammenhang mit einigen Angriffsmöglichkeiten wie Clickjacking zu Einschränkungen, die Kaminsky gern überwinden möchte. Konkret geht es Kaminsky darum, dass eine Webseite in einem Iframe im Moment keine kritischen Nutzerinteraktionen durchführen kann. Mit einem neuen Webstandard namens Ironframe will Kaminsky Abhilfe schaffen.

Zwei wichtige Eigenschaften seien zentral für das Sicherheitsmodell des Webs. Zum einen die sogenannte Same-Origin-Policy, die dafür sorgt, dass Webseiten nicht gegenseitig ihre Inhalte lesen und beeinflussen können. Ganz praktisch heißt das, dass die Webseite von CNN nicht auf die E-Mails in einem Gmail-Account zugreifen kann, der gleichzeitig geöffnet ist. Die Same-Origin-Policy gilt selbst dann, wenn Inhalte verschiedener Webseiten mit Hilfe von Iframes gleichzeitig angezeigt werden. Die zweite wichtige Eigenschaft: Der Nutzer kann sicher auf allen Webseiten surfen und deren Code ausführen, ohne dass eine Gefahr besteht - zumindest solange der Browser gerade keine kritischen Sicherheitslücken aufweist.

Ad Stuffing - indirekt verursacht durch die Same-Origin-Policy

Doch dass die Same-Origin-Policy auch zum Problem werden konnte, wurde Kaminsky klar, als er versuchte, besser zu verstehen, warum Werbung das Netz häufig so langsam macht. Zunehmend tritt ein Problem namens Ad Stuffing auf. Was dabei passiert: Ein Werbehändler bucht Platz auf einer Webseite, doch statt einer einzigen Anzeige fügt er gleich mehrere Anzeigen dort ein, die übereinanderliegen. Für die beteiligten ist das kaum feststellbar. Die Webseite selbst kann wegen der Same-Origin-Policy nicht feststellen, was auf einer eingebundenen Webseite stattfindet. Die Werbeanzeigen können ebenfalls wegen der Same-Origin-Policy nicht feststellen, ob sie überhaupt angezeigt werden. Das Resultat: Der betrügerische Werbehändler kann mehrfach verdienen - und mehrere übereinander gelagerte Werbeanzeigen belasten die CPU des Nutzers.

Kaminsky hat einen Javascript-Code entwickelt, der durch einige Berechnungen in der Lage ist, die aktuelle CPU-Last zu messen - das sei, so Kaminsky, explizit etwas, was man laut IETF nicht tun sollte. Einerseits ist man damit in der Lage, als Webseite möglicherweise zu bemerken, ob ein eingebundenes Werbebanner von einer externen Quelle besonders viel CPU-Last verursacht. Andererseits verstößt eine derartige Methode in gewisser Weise gegen die Same-Origin-Policy, denn dadurch lässt sich in begrenztem Rahmen herausfinden, was auf anderen gerade geladenen Webseiten passiert. Kaminsky sagte, dass das Problem wohl schwierig zu beheben sei, er aber auch nicht sicher sei, ob man es überhaupt beheben sollte.

Eine andere Auswirkung der Same-Origin-Policy führt oft zu Usability-Problemen, die Kaminsky anhand von Twitter erläutert. Wird ein Tweet via Iframe in einer fremden Webseite eingebunden, kann man die Buttons für Follow, Retweet und Favorite nicht direkt anklicken. Vielmehr wird zunächst ein Pop-up geöffnet, das vollständig auf der Twitter-Domain läuft. "Niemand mag Pop-ups", so Kaminsky, doch für Twitter gibt es kaum eine andere Möglichkeit, das zu implementieren. Der Grund sind sogenannte Clickjacking-Angriffe.

Würde Twitter das Retweeten und andere Aktionen direkt in einem Iframe erlauben, könnte man Nutzer mittels Clickjacking dazu bringen, auf die entsprechenden Buttons zu klicken, ohne dass sie wissen, was sie gerade tun. Dazu muss eine Webseite lediglich ein Bild über den entsprechenden Iframe legen oder diesen so klein machen, dass der Nutzer nicht sieht, dass er gerade in Wirklichkeit eine Aktion auf Twitter anklickt, für ihn sieht es so aus, als klicke er ein Element auf der jeweiligen Webseite an.

Clickjacking-Schutz führt zu Usability-Problemen 

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. MICHELFELDER Gruppe über Baumann Unternehmensberatung AG, Raum Schramberg
  2. Wolters Kluwer Deutschland GmbH, Hürth bei Köln
  3. Leopold Kostal GmbH & Co. KG, Hagen
  4. BG-Phoenics GmbH, Hannover


Anzeige
Hardware-Angebote
  1. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)
  2. und bis zu 60€ Steam-Guthaben erhalten

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Mal ne dumme Gegenfrage:

    Apfelbrot | 10:13

  2. Re: Was habe ich von Netzneutralität als Kunde?

    sundown73 | 10:11

  3. Re: Unangenehme Beiträge hervorheben statt zu...

    raphaelo00 | 10:09

  4. Re: Anbindung an Passwortmanager

    Apfelbrot | 10:06

  5. Re: Filezilla eben...

    Apfelbrot | 09:59


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel