Diskussion:Clickjacking

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 11 Jahren von 178.10.184.136 in Abschnitt Aktualität
Zur Navigation springen Zur Suche springen

Firefox Addon

[Quelltext bearbeiten]
Letzter Kommentar: vor 14 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

https://addons.mozilla.org/de/firefox/addon/722/ Könnte man noch verlinken.. (nicht signierter Beitrag von 152.96.140.201 (Diskussion 08:25, 16. Jun. 2010 (CEST)) Beantworten

Pros und Cons

[Quelltext bearbeiten]
Letzter Kommentar: vor 11 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Im Artikel werden verschiedene Lösungsmöglichkeiten aufgezeigt.

Ich würde gerne die Vor- und Nachteile der einzelnen Lösungen diskutieren:

1. Server-Response Header Attribut X-Frame-Options:

Das ist m.E. die sicherste Lösung, allerdings hat sie den Nachteil, dass sie für ältere Browser nicht reicht, daher kommt man zumindest für diese älteren Browser um eine JS/CSS Lösung nicht herum. Hier bleibt (wahrscheinlich) der Inhalt einfach weiss oder es wird eine browserinterne Fehlermeldung in dem Frame präsentiert.

2. JS-Framebrecher:

Diese Lösung stellt per JS fest, ob das eigene Fenster auch das oberste im Baum ist und lädt ggf. die gesamte Seite von der eigenen URL neu. Um eine Benutzung mit deaktiviertem JS zu verhindern wird vorher per CSS die gesamte Seite unsichtbar gemacht und dann per JS wieder sichtbar gemacht.

Das hat den Vor- oder auch Nachteil, dass keine weisse Seite oder Fehlerseite präsentiert wird, sondern die gewünschte Seite wird nach einem Reload dargestellt.

Weiterhin problematisch ist hierbei, dass das hijackende Fenster, also das top-frame, bei Verlassen einen unload Event bekommt, und dementsprechend darauf reagieren kann, sei es per verwirrender Benutzerwarnung (alert) oder durch öffnen eines neuen Tabs/Fensters, in das es sich lädt.

Dies liesse sich umgehen, indem man nicht die Seite neu lädt, sondern leert oder einen dementsprechenden Text ausgibt (per document.write nach Fertigladen der Seite).

Nos10dorf (Diskussion) 00:36, 28. Mär. 2012 (CEST) Enno Ostendorf, Web EntwicklerBeantworten

Ich habe den Abschnitt umgeschrieben, sodass er der in http://seclab.stanford.edu/websec/framebusting/framebust.pdf vorgeschlagenen Vorgehensweise entspricht. Die vorher im Artikel erwähnte serverseitige Prüfung auf framing ist m.E. nicht durchführbar (der Referrer-Header kann auch durch eine Verlinkung gesetzt sein). Ich habe noch die Referenzimplementation aus dem Paper übernommen (wie sie auch in der engl. WP steht), da die meisten im Netz zu findenden Beispiele für Angriffe anfällig sind.

--62.143.110.197 12:48, 23. Jan. 2013 (CET)Beantworten

Aktualität

[Quelltext bearbeiten]
Letzter Kommentar: vor 11 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

"Konqueror unterstützt diese Möglichkeit ""bislang"" nicht." Da dieser Satz nicht zur Zeit der Verfassung gelesen wird und nicht klar ist, ob der letzte Bearbeiter der Seite sich mit ihm beschäftigt hat, ist er sinnfrei. Es wäre nett, Zeitangaben absolut zu machen. Danke im voraus, Thomas (nicht signierter Beitrag von 178.10.184.136 (Diskussion) 10:26, 16. Feb. 2013 (CET))Beantworten

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Diskussion:Clickjacking&oldid=114268203