Přejít k navigační liště

Zdroják » Zprávičky » Většina českých a slovenských bank není odolná vůči clickjackingu

Většina českých a slovenských bank není odolná vůči clickjackingu

Zprávičky Různé

Nálepky:

O bezpečnostním problému zvaném clickjacking jsme již několikrát psali. Rastislav Turek přezdívaný Synopsi dnes na konferenci Trendy v internetové bezpečnosti sdělil, že většina českých i slovenských bank není vůči clickjackingu odolná. V ČR jsou odolné pouze Komerční banka, Citibank a mBanka, na Slovensku pouze mBanka.

Pomocí clickjackingu můžete uživatele snadno přimět nevědomky kliknout na libovolné místo na libovolné stránce, která se nesnaží bránit proti vložení do iframe. Přikládáme jednoduchou ukázku, na které jsme ponechali slabě vidět reálnou stánku, na kterou uživatel kliká (v tomto případě Zdroják), při jejím úplném ukrytí – viz druhá ukázka – vypadá stránka na první pohled zcela nevinně. Jedná se pouze o jedno z možných použití clickjackingu, kdy jsme vytvořili zcela průhledný iframe a umístili jej přes naši stránku. V reálu se často objevuje opačná situace, kdy je cílová stránka (až na malou oblast, na kterou uživatel klikne) vložena vespod.

ČTĚTE K TÉMATU: Bezpečnost na webu – přehled útoků na webové aplikace

Jak by se mohly banky (a obecně všechny důležité aplikace) před clickjackingem a vložením do iframe bránit pomocí několikařádkového javascriptového kódu, to již necháme za domácí úkol čtenářům.

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat
Upozornit na
guest
2 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
Zobrazit všechny komentáře
Bubák

Nestačil by jednořádkový script? Jedno z mnoha variant:

if (top != self) top.location.replace(document.location)

Problém může být to, že iframe není jediný element, do ktetého lze vložit stránku. Boužel, v MSIE pak mnou uvedený script nefunguje.

0
Odpovědět
Martin Hassman

Dnes jsem narazil na další ukázku clickjackingu. Využívá malý iframe, který posunuje JavaScriptem podle toho, kam uživatel pohybuje myší. http://www.noginn.com/tinyface.html

0
Odpovědět

Stav SIMD v Rustu v roce 2025

Různé
Komentáře: 1
SIMD - neboli Single Instruction, Multiple Data - znamená, že procesor může jednou instrukcí zpracovat více datových prvků najednou. Typicky to znamená, že místo sčítání dvou čísel přičtete dvě sady čísel paralelně. To může přinést výrazné zrychlení například při zpracování obrazu, audia nebo numerických výpočtů. Pokud již SIMD znáte, tato tabulka je vše, co budete potřebovat. A pokud s SIMD teprve začínáte, tabulku pochopíte do konce tohoto článku

GPUI Component: moderní Rust GUI komponenty pro cross-platform desktop aplikace

Různé
Komentáře: 0
GPUI Component je open-source Rust knihovna rozšiřující framework GPUI o více než 60 moderních, nativních a multiplatformních UI komponent. Staví na deklarativním přístupu, stateless renderování a jednoduchém API inspirovaném Reactem či Yew. Díky optimalizovanému výkonu, podpoře témat a flexibilním layoutům umožňuje rychlý vývoj desktopových aplikací, jako je například trading nástroj Longbridge Pro. Knihovna je licencována pod Apache 2.0 a dostupná na GitHubu.

Sledujte Zdroják: