Přejít k navigační liště

Zdroják » Zprávičky » Clickjacking: nebezpečí číhající na uživatele webových aplikací

Clickjacking: nebezpečí číhající na uživatele webových aplikací

Zprávičky Různé

Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje:

Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje jinými prvky větší část iframe, až na jedno jediné tlačítko na doméně B, např. „Smazat vše“, „Přidej Boba jako svého přítele“ apod. Může přidat své rozhraní pro oklamání uživatele, který si myslí, že tlačítko patří do domény A a klikne na něj. Ačkoliv jsou uvedené příklady naivní, jedná se o jasný problém pro celou řadu moderních aplikací.

Michal popisuje možná řešení problému (např. pomocí HTTP hlaviček) a navrhuje začlenění některého z nich do specifikace HTML5. Editor specifikace Ian Hickson se o řešení plánuje poradit s výrobci prohlížečů. Zájemci o problematiku, nechť si přečtou celé vlákno konference.

Komentáře

Subscribe
Upozornit na
guest
14 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
View all comments
Hoween

Hmm, takže v podstatě klasické XSRF. Jen tomu dal "kchůl" jméno, zřejmě aby byl dostatečně "in" až o tom bude mluvit.

pingu

no, uz pred par lety jsem zaznamenal nejake doporuceni, ze se kolacky nemaj pouzivat…

Georgo10

Koláčky proč ne, ale pak je dobré ověřit nějakou akci (smazání, přidání, …) pomocí nějakého tokenu:-)

edois

Tady je právě blbé to, že ta stránka v iframu tam ten token dá a všechno vypadá OK..

Sten

Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

Sten

Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

Martin Straka

Jak pise Martin, jde o neco jineho nez XSRF a klasicke ochrany proti XSRF se tim daji obejit, pekna demonstrace (pocs.zip):

http://lab.gnucitizen.org/projects/ui-redress-attacks

Jan Pejša

i když to už udělali jiní, tak se k nim s radostí připojím:
clickjacking není CSRF (nebo chcete-li XSRF)

http://zdrojak.root.cz/…k-se-branit/

repulsive
Míchal
guláš míchal
kozu píchal
..

Houbičky??

shMoula

jeste nerostou…

majky8

to by jste se divil :)

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.