„Clickjacking“ – Versionsunterschied

Clickjacking ist eine Technik, bei der ein Computerhacker die Darstellung einer Internetseite überlagert und dann deren Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen.

Angreifer lassen die ahnungslosen Anwender – scheinbar – auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User – anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken – eine vom Hacker definierte, beliebige Aktion auslöst.

Dies betrifft Seiten, die beispielsweise Links und Schaltflächen zur Konfiguration von Systemeinstellungen enthalten. Während der Nutzer also denkt, er tätige harmlose Eingaben in einer Internetseite, ändert er in Wahrheit, ohne es zu merken, z. B. Einstellungen einer angeschlossenen Kamera oder eines Mikrophons.

Beispielsweise kann so auch eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlagert werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.

Im Extremfall kann ein Hacker also sein Opfer beobachten, belauschen oder sensible Daten übermitteln lassen.

Clickjacking ist ein konzeptionelles Problem von JavaScript und Webanwendungssicherheit. Es beruht nicht auf einem "Fehler" des Anwendungsprogrammierers, insofern sind Gegenmaßnahmen nicht trivial.

Fast alle Browser haben inzwischen die Möglichkeit eingeführt, dass Webanwendungen einen Header "X-Frame-Options"^[1] senden, der dem Browser anzeigt, ob die Webseite in einem Frame angezeigt werden darf oder nicht. Möglich sind hierfür die Werte "DENY" (Seite darf nicht in Frame angezeigt werden), "SAMEORIGIN" (Seite darf nur von Frames auf derselben Domain angezeigt werden) und "ALLOW-FROM" (Seite darf von spezifizierte Domäne und URL angezeigt werden)^[2]. Voraussetzung für diesen Schutz ist aber, dass er sowohl von der Webanwendung als auch vom Browser unterstützt wird. Der Header ist bislang kein offizieller Standard. Unterstützt wird er vom Internet Explorer ab Version 8.0, Firefox ab 3.6.9, Opera ab 10.50, Safari ab 4.0 und Chrome ab 4.1.249.1042. Konqueror unterstützt diese Möglichkeit bislang nur bei Nutzung der experimentellen Webkit-Engine, in der Standardkonfiguration ist der KDE-eigene Browser gegen Clickjacking ungeschützt.^[3]

Außerdem besteht die Möglichkeit, in älteren Browsern mit Hilfe eines JavaScript-Framekillers die Ausgabe der Seite zu unterbinden. Dabei muss jedoch beachtet werden, dass die Seite vor Ausführung des JavaScripts versteckt ist und erst bei einer erfolgreichen Frame-Überprüfung angezeigt wird. Sonst lässt sich der Framekiller selbst umgehen.^[4]

<style> html{display : none ; } </style>
<script>
   if( self == top ) {
       document.documentElement.style.display = 'block' ; 
   } else {
       top.location = self.location ; 
   }
</script>

• Franco Callegati, Marco Ramilli: Frightened by Links. In: IEEE Security and Privacy. 7, 6, Nov. 2009, ISSN 1540-7993, S. 72–76, doi:10.1109/MSP.2009.177.

• Meldung auf heise.de
• Einzelheiten zu Clickjacking-Angriffen veröffentlicht. computerworld.ch, 10. Oktober 2008, abgerufen am 24. November 2008. 
• New Insights into Clickjacking – Owasp AppSec Research 2010
• UI Redressing: Attacks and Countermeasures Revisited
• Web Application Security Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

1. ↑ https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
2. ↑ http://tools.ietf.org/html/draft-ietf-websec-x-frame-options-00
3. ↑ https://bugs.kde.org/show_bug.cgi?id=259070
4. ↑ http://seclab.stanford.edu/websec/framebusting/framebust.pdf