Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

Artikel veröffentlicht am , Hanno Böck
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes
Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky)

"Ich mag das Web", so der Sicherheitsforscher Dan Kaminsky auf der Def-Con-Konferenz. Es habe ein großartiges Sicherheitsmodell, das man so nirgends sonst findet. Doch das Sicherheitskonzept des Netzes führt im Zusammenhang mit einigen Angriffsmöglichkeiten wie Clickjacking zu Einschränkungen, die Kaminsky gern überwinden möchte. Konkret geht es Kaminsky darum, dass eine Webseite in einem Iframe im Moment keine kritischen Nutzerinteraktionen durchführen kann. Mit einem neuen Webstandard namens Ironframe will Kaminsky Abhilfe schaffen.

Inhalt:
  1. Clickjacking: Mehr Web-Usability durch sichtbare Iframes
  2. Clickjacking-Schutz führt zu Usability-Problemen

Zwei wichtige Eigenschaften seien zentral für das Sicherheitsmodell des Webs. Zum einen die sogenannte Same-Origin-Policy, die dafür sorgt, dass Webseiten nicht gegenseitig ihre Inhalte lesen und beeinflussen können. Ganz praktisch heißt das, dass die Webseite von CNN nicht auf die E-Mails in einem Gmail-Account zugreifen kann, der gleichzeitig geöffnet ist. Die Same-Origin-Policy gilt selbst dann, wenn Inhalte verschiedener Webseiten mit Hilfe von Iframes gleichzeitig angezeigt werden. Die zweite wichtige Eigenschaft: Der Nutzer kann sicher auf allen Webseiten surfen und deren Code ausführen, ohne dass eine Gefahr besteht - zumindest solange der Browser gerade keine kritischen Sicherheitslücken aufweist.

Ad Stuffing - indirekt verursacht durch die Same-Origin-Policy

Doch dass die Same-Origin-Policy auch zum Problem werden konnte, wurde Kaminsky klar, als er versuchte, besser zu verstehen, warum Werbung das Netz häufig so langsam macht. Zunehmend tritt ein Problem namens Ad Stuffing auf. Was dabei passiert: Ein Werbehändler bucht Platz auf einer Webseite, doch statt einer einzigen Anzeige fügt er gleich mehrere Anzeigen dort ein, die übereinanderliegen. Für die beteiligten ist das kaum feststellbar. Die Webseite selbst kann wegen der Same-Origin-Policy nicht feststellen, was auf einer eingebundenen Webseite stattfindet. Die Werbeanzeigen können ebenfalls wegen der Same-Origin-Policy nicht feststellen, ob sie überhaupt angezeigt werden. Das Resultat: Der betrügerische Werbehändler kann mehrfach verdienen - und mehrere übereinander gelagerte Werbeanzeigen belasten die CPU des Nutzers.

Kaminsky hat einen Javascript-Code entwickelt, der durch einige Berechnungen in der Lage ist, die aktuelle CPU-Last zu messen - das sei, so Kaminsky, explizit etwas, was man laut IETF nicht tun sollte. Einerseits ist man damit in der Lage, als Webseite möglicherweise zu bemerken, ob ein eingebundenes Werbebanner von einer externen Quelle besonders viel CPU-Last verursacht. Andererseits verstößt eine derartige Methode in gewisser Weise gegen die Same-Origin-Policy, denn dadurch lässt sich in begrenztem Rahmen herausfinden, was auf anderen gerade geladenen Webseiten passiert. Kaminsky sagte, dass das Problem wohl schwierig zu beheben sei, er aber auch nicht sicher sei, ob man es überhaupt beheben sollte.

Stellenmarkt
  1. Senior-Softwareentwickler m/w/d .NET, C#
    Klinkhammer Intralogistics GmbH, Nürnberg
  2. IT-Techniker Jobautomatisierung (w/m/d)
    IT-Systemhaus der Bundesagentur für Arbeit, Fürth
Detailsuche

Eine andere Auswirkung der Same-Origin-Policy führt oft zu Usability-Problemen, die Kaminsky anhand von Twitter erläutert. Wird ein Tweet via Iframe in einer fremden Webseite eingebunden, kann man die Buttons für Follow, Retweet und Favorite nicht direkt anklicken. Vielmehr wird zunächst ein Pop-up geöffnet, das vollständig auf der Twitter-Domain läuft. "Niemand mag Pop-ups", so Kaminsky, doch für Twitter gibt es kaum eine andere Möglichkeit, das zu implementieren. Der Grund sind sogenannte Clickjacking-Angriffe.

Würde Twitter das Retweeten und andere Aktionen direkt in einem Iframe erlauben, könnte man Nutzer mittels Clickjacking dazu bringen, auf die entsprechenden Buttons zu klicken, ohne dass sie wissen, was sie gerade tun. Dazu muss eine Webseite lediglich ein Bild über den entsprechenden Iframe legen oder diesen so klein machen, dass der Nutzer nicht sieht, dass er gerade in Wirklichkeit eine Aktion auf Twitter anklickt, für ihn sieht es so aus, als klicke er ein Element auf der jeweiligen Webseite an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Clickjacking-Schutz führt zu Usability-Problemen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Bitcoin
Bitmain stoppt Verkauf von Krypto-Minern

Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
Artikel
  1. Verbraucherzentrale gegen Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
    Verbraucherzentrale gegen Glasfaser
    "100 bis 300 MBit/s sind vollkommen ausreichend"

    Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

  2. Satelliteninternet: Starlink bietet in Kürze globale Versorgung
    Satelliteninternet
    Starlink bietet in Kürze globale Versorgung

    Viel mehr Nutzer würden Starlink von SpaceX ausprobieren, aber wegen der Chipkrise fehlen die Bauteile.

  3. Lenovo L32p-30 und L27m-30: USB-C-Monitore mit Webcam passen ins Homeoffice
    Lenovo L32p-30 und L27m-30
    USB-C-Monitore mit Webcam passen ins Homeoffice

    Lenovo stellt gleich mehrere neue Monitore vor. Die L32p-30 und L27m-30 lassen sich etwa per USB-C mit 75 Watt Power Delivery anschließen.

Kernel der Frosch 18. Aug 2015

Mit argen Geschwindigkeitseinbußen, also eigentlich wiederum doch nicht.

Moe479 10. Aug 2015

wenn sie das machen ist es ebenso ihre verantwortung, sie können ja den ihnen gegebüer...

tundracomp 10. Aug 2015

Ja! Zum migrieren der existierenden Listen kannst du übrigens im Adblock-Fenster unter...

Pixelz 10. Aug 2015

In den einstellungen vom internet explorer kann man iframes blocken, bestimmt geht das...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /