Diskussion:Clickjacking

aus Wikipedia, der freien Enzyklopädie

Firefox Addon

https://addons.mozilla.org/de/firefox/addon/722/ Könnte man noch verlinken.. (nicht signierter Beitrag von 152.96.140.201 (Diskussion 08:25, 16. Jun. 2010 (CEST))

Pros und Cons

Im Artikel werden verschiedene Lösungsmöglichkeiten aufgezeigt.

Ich würde gerne die Vor- und Nachteile der einzelnen Lösungen diskutieren:

1. Server-Response Header Attribut X-Frame-Options:

Das ist m.E. die sicherste Lösung, allerdings hat sie den Nachteil, dass sie für ältere Browser nicht reicht, daher kommt man zumindest für diese älteren Browser um eine JS/CSS Lösung nicht herum. Hier bleibt (wahrscheinlich) der Inhalt einfach weiss oder es wird eine browserinterne Fehlermeldung in dem Frame präsentiert.

2. JS-Framebrecher:

Diese Lösung stellt per JS fest, ob das eigene Fenster auch das oberste im Baum ist und lädt ggf. die gesamte Seite von der eigenen URL neu. Um eine Benutzung mit deaktiviertem JS zu verhindern wird vorher per CSS die gesamte Seite unsichtbar gemacht und dann per JS wieder sichtbar gemacht.

Das hat den Vor- oder auch Nachteil, dass keine weisse Seite oder Fehlerseite präsentiert wird, sondern die gewünschte Seite wird nach einem Reload dargestellt.

Weiterhin problematisch ist hierbei, dass das hijackende Fenster, also das top-frame, bei Verlassen einen unload Event bekommt, und dementsprechend darauf reagieren kann, sei es per verwirrender Benutzerwarnung (alert) oder durch öffnen eines neuen Tabs/Fensters, in das es sich lädt.

Dies liesse sich umgehen, indem man nicht die Seite neu lädt, sondern leert oder einen dementsprechenden Text ausgibt (per document.write nach Fertigladen der Seite).

Nos10dorf (Diskussion) 00:36, 28. Mär. 2012 (CEST) Enno Ostendorf, Web Entwickler

Ich habe den Abschnitt umgeschrieben, sodass er der in http://seclab.stanford.edu/websec/framebusting/framebust.pdf vorgeschlagenen Vorgehensweise entspricht. Die vorher im Artikel erwähnte serverseitige Prüfung auf framing ist m.E. nicht durchführbar (der Referrer-Header kann auch durch eine Verlinkung gesetzt sein). Ich habe noch die Referenzimplementation aus dem Paper übernommen (wie sie auch in der engl. WP steht), da die meisten im Netz zu findenden Beispiele für Angriffe anfällig sind.

--62.143.110.197 12:48, 23. Jan. 2013 (CET)

Aktualität

"Konqueror unterstützt diese Möglichkeit ""bislang"" nicht." Da dieser Satz nicht zur Zeit der Verfassung gelesen wird und nicht klar ist, ob der letzte Bearbeiter der Seite sich mit ihm beschäftigt hat, ist er sinnfrei. Es wäre nett, Zeitangaben absolut zu machen. Danke im voraus, Thomas (nicht signierter Beitrag von 178.10.184.136 (Diskussion) 10:26, 16. Feb. 2013 (CET))