Abo
  • Services:
Anzeige
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

Anzeige

"Ich mag das Web", so der Sicherheitsforscher Dan Kaminsky auf der Def-Con-Konferenz. Es habe ein großartiges Sicherheitsmodell, das man so nirgends sonst findet. Doch das Sicherheitskonzept des Netzes führt im Zusammenhang mit einigen Angriffsmöglichkeiten wie Clickjacking zu Einschränkungen, die Kaminsky gern überwinden möchte. Konkret geht es Kaminsky darum, dass eine Webseite in einem Iframe im Moment keine kritischen Nutzerinteraktionen durchführen kann. Mit einem neuen Webstandard namens Ironframe will Kaminsky Abhilfe schaffen.

Zwei wichtige Eigenschaften seien zentral für das Sicherheitsmodell des Webs. Zum einen die sogenannte Same-Origin-Policy, die dafür sorgt, dass Webseiten nicht gegenseitig ihre Inhalte lesen und beeinflussen können. Ganz praktisch heißt das, dass die Webseite von CNN nicht auf die E-Mails in einem Gmail-Account zugreifen kann, der gleichzeitig geöffnet ist. Die Same-Origin-Policy gilt selbst dann, wenn Inhalte verschiedener Webseiten mit Hilfe von Iframes gleichzeitig angezeigt werden. Die zweite wichtige Eigenschaft: Der Nutzer kann sicher auf allen Webseiten surfen und deren Code ausführen, ohne dass eine Gefahr besteht - zumindest solange der Browser gerade keine kritischen Sicherheitslücken aufweist.

Ad Stuffing - indirekt verursacht durch die Same-Origin-Policy

Doch dass die Same-Origin-Policy auch zum Problem werden konnte, wurde Kaminsky klar, als er versuchte, besser zu verstehen, warum Werbung das Netz häufig so langsam macht. Zunehmend tritt ein Problem namens Ad Stuffing auf. Was dabei passiert: Ein Werbehändler bucht Platz auf einer Webseite, doch statt einer einzigen Anzeige fügt er gleich mehrere Anzeigen dort ein, die übereinanderliegen. Für die beteiligten ist das kaum feststellbar. Die Webseite selbst kann wegen der Same-Origin-Policy nicht feststellen, was auf einer eingebundenen Webseite stattfindet. Die Werbeanzeigen können ebenfalls wegen der Same-Origin-Policy nicht feststellen, ob sie überhaupt angezeigt werden. Das Resultat: Der betrügerische Werbehändler kann mehrfach verdienen - und mehrere übereinander gelagerte Werbeanzeigen belasten die CPU des Nutzers.

Kaminsky hat einen Javascript-Code entwickelt, der durch einige Berechnungen in der Lage ist, die aktuelle CPU-Last zu messen - das sei, so Kaminsky, explizit etwas, was man laut IETF nicht tun sollte. Einerseits ist man damit in der Lage, als Webseite möglicherweise zu bemerken, ob ein eingebundenes Werbebanner von einer externen Quelle besonders viel CPU-Last verursacht. Andererseits verstößt eine derartige Methode in gewisser Weise gegen die Same-Origin-Policy, denn dadurch lässt sich in begrenztem Rahmen herausfinden, was auf anderen gerade geladenen Webseiten passiert. Kaminsky sagte, dass das Problem wohl schwierig zu beheben sei, er aber auch nicht sicher sei, ob man es überhaupt beheben sollte.

Eine andere Auswirkung der Same-Origin-Policy führt oft zu Usability-Problemen, die Kaminsky anhand von Twitter erläutert. Wird ein Tweet via Iframe in einer fremden Webseite eingebunden, kann man die Buttons für Follow, Retweet und Favorite nicht direkt anklicken. Vielmehr wird zunächst ein Pop-up geöffnet, das vollständig auf der Twitter-Domain läuft. "Niemand mag Pop-ups", so Kaminsky, doch für Twitter gibt es kaum eine andere Möglichkeit, das zu implementieren. Der Grund sind sogenannte Clickjacking-Angriffe.

Würde Twitter das Retweeten und andere Aktionen direkt in einem Iframe erlauben, könnte man Nutzer mittels Clickjacking dazu bringen, auf die entsprechenden Buttons zu klicken, ohne dass sie wissen, was sie gerade tun. Dazu muss eine Webseite lediglich ein Bild über den entsprechenden Iframe legen oder diesen so klein machen, dass der Nutzer nicht sieht, dass er gerade in Wirklichkeit eine Aktion auf Twitter anklickt, für ihn sieht es so aus, als klicke er ein Element auf der jeweiligen Webseite an.

Clickjacking-Schutz führt zu Usability-Problemen 

eye home zur Startseite
Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...



Anzeige

Stellenmarkt
  1. Trescal GmbH, Neustadt in Sachsen
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Habermaaß GmbH, Bad Rodach
  4. über Hays AG, Nordrhein-Westfalen


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 199€
  3. (u. a. BioShock: The Collection 16,99€, Borderlands 2 GOTY 7,99€, Civilization VI 35,99€ und...

Folgen Sie uns
       


  1. Streaming

    Netflix gewinnt weiter Millionen Neukunden

  2. Zusammenlegung

    So soll das Netz von O2 einmal aussehen

  3. Kohlendioxid

    Island hat ein Kraftwerk mit negativen Emissionen

  4. Definitive Edition

    Veröffentlichung von Age of Empires kurzfristig verschoben

  5. Elex im Test

    Schroffe Schale und postapokalyptischer Kern

  6. Raven Ridge

    HP bringt Convertible mit AMDs Ryzen Mobile

  7. Medion E6436 und P10602

    Preiswertes Notebook und Tablet bei Aldi Süd

  8. Smartphone mit KI

    Huawei stellt neues Mate 10 Pro für 800 Euro vor

  9. KRACK

    WPA2 ist kaputt, aber nicht gebrochen

  10. Medion Akoya E2228T

    280-Euro-Convertible von Aldi hat 1080p



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

  1. In einer Galaxie, weit, weit entfernt.

    Afinda | 00:18

  2. Re: blödsinn

    Ach | 00:05

  3. Re: Egal

    Gandalf2210 | 16.10. 23:55

  4. leider etliche Funklöcher, wenn man mit RE1 bei...

    devman | 16.10. 23:47

  5. Re: So sieht das Ende aus

    derJimmy | 16.10. 23:44


  1. 23:03

  2. 19:01

  3. 18:35

  4. 18:21

  5. 18:04

  6. 17:27

  7. 17:00

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel