Přejít k navigační liště

Zdroják » Zprávičky » Clickjacking: nebezpečí číhající na uživatele webových aplikací

Clickjacking: nebezpečí číhající na uživatele webových aplikací

Zprávičky Různé

Nálepky:

Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje:

Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje jinými prvky větší část iframe, až na jedno jediné tlačítko na doméně B, např. „Smazat vše“, „Přidej Boba jako svého přítele“ apod. Může přidat své rozhraní pro oklamání uživatele, který si myslí, že tlačítko patří do domény A a klikne na něj. Ačkoliv jsou uvedené příklady naivní, jedná se o jasný problém pro celou řadu moderních aplikací.

Michal popisuje možná řešení problému (např. pomocí HTTP hlaviček) a navrhuje začlenění některého z nich do specifikace HTML5. Editor specifikace Ian Hickson se o řešení plánuje poradit s výrobci prohlížečů. Zájemci o problematiku, nechť si přečtou celé vlákno konference.

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat
Upozornit na
guest
14 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
Zobrazit všechny komentáře
Hoween

Hmm, takže v podstatě klasické XSRF. Jen tomu dal "kchůl" jméno, zřejmě aby byl dostatečně "in" až o tom bude mluvit.

0
Odpovědět
pingu

no, uz pred par lety jsem zaznamenal nejake doporuceni, ze se kolacky nemaj pouzivat…

0
Odpovědět
Georgo10

Koláčky proč ne, ale pak je dobré ověřit nějakou akci (smazání, přidání, …) pomocí nějakého tokenu:-)

0
Odpovědět
edois

Tady je právě blbé to, že ta stránka v iframu tam ten token dá a všechno vypadá OK..

0
Odpovědět
Sten

Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

0
Odpovědět
Sten

Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

0
Odpovědět
Martin Hassman

Nejedná se o totéž. Klasická ochrana proti XSRF je na clickjacking krátká, protože v tomhle případě skutečně uživatel klikne na tlačítko správného formuláře na té správné doméně.

U XSRF obvykle odesíláme formulář z naší domény, před čímž se lze u aplikace bránit např. přidáním skrytého formulářového pole s dostatečně dlouhým neohadnutelným hashem. Ovšem u Clickjackingu tohle nepomůže, tam odejte k odeslání formuláře, který toto skryté pole obsahuje, protože to, co bylo „ukradeno“ je skutečně jen ono kliknutí uživatele (proto click-jacking).

0
Odpovědět
Martin Straka

Jak pise Martin, jde o neco jineho nez XSRF a klasicke ochrany proti XSRF se tim daji obejit, pekna demonstrace (pocs.zip):

http://lab.gnucitizen.org/projects/ui-redress-attacks

0
Odpovědět
Jan Pejša

i když to už udělali jiní, tak se k nim s radostí připojím:
clickjacking není CSRF (nebo chcete-li XSRF)

http://zdrojak.root.cz/…k-se-branit/

0
Odpovědět
repulsive 
Míchal
guláš míchal
kozu píchal
0
Odpovědět
..

Houbičky??

0
Odpovědět
shMoula

jeste nerostou…

0
Odpovědět
majky8

to by jste se divil :)

0
Odpovědět

Jak zabezpečit WordPress: Praktický průvodce

PHP, Webdesign, Webový vývoj
Komentáře: 0
WordPress pohání přes 40 % všech webů na světě. To z něj dělá nejrozšířenější CMS a zároveň nejčastější terč automatizovaných útoků. Boti nepotřebují cílit přímo na vás: systematicky procházejí miliony domén a hledají otevřené dveře. Stačí zapomenutý plugin bez aktualizace, výchozí prefix databáze nebo heslo z uniklé databáze. Tento článek není seznam pluginů. Je to průvodce od základů přes hardening konfigurace až po serverové zabezpečení s konkrétními kroky, které můžete udělat ještě dnes.

Product Engineer: supermani, nebo falešná efektivita?

AI, Různé
Komentáře: 0
Stále více firem propouští produktové týmy a sází na jednu roli, která to zvládne celé sama. Product Engineer je člověk, který vymyslí produkt, implementuje ho a vyhodnotí výsledky. S ekosystémem AI agentů místo kolegů. Efektivita? Na první pohled určitě. Ale je rozdíl mezi tím dodávat víc a rychleji a skutečně být efektivní. Tenhle rozdíl firmy zatím moc neřeší.

EU AI Act: co musí vývojářské týmy vědět do 2. srpna 2026

AI, Různé
Komentáře: 0
Druhého srpna začnou v EU platit povinnosti pro poskytovatele i provozovatele high-risk AI systémů: posouzení shody, technická dokumentace a quality management na straně providerů, uchovávání logů a dohled nad provozem na straně deployerů. Samostatně vstupují v platnost transparentní pravidla pro chatboty, generativní AI a deepfaky, a ta se týkají všech, nejen high-risk systémů. Kdo nasazuje AI v recruitmentu, credit scoringu nebo HR hodnocení, je v zóně. Čekání na odklad přes Digital Omnibus je sázka na legislativní proces, který ještě neskončil. A kdo si myslí, že se ho to netýká, protože „jen používá ChatGPT" v use casu z Annexu III, pravděpodobně špatně přečetl nařízení.

Sledujte Zdroják: