Internet Info, s.r.o. Lupa Měšec Podnikatel Root Zdroják DigiZone Slunečnice Vitalia TopDrive KupDnes Navrcholu NovýTarif Dobrý web Weblogy Woko Jagg Computer.cz SK: MojeLinky

Hlavní navigace

Zdroják  »  Bezpečnost  »  Clickjacking: nebezpečí číhající na uživatele webových aplikací

Clickjacking: nebezpečí číhající na uživatele webových aplikací

8. 10. 2008 16:16 Martin Hassman

Nálepky:

Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje:

Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje jinými prvky větší část iframe, až na jedno jediné tlačítko na doméně B, např. „Smazat vše“, „Přidej Boba jako svého přítele“ apod. Může přidat své rozhraní pro oklamání uživatele, který si myslí, že tlačítko patří do domény A a klikne na něj. Ačkoliv jsou uvedené příklady naivní, jedná se o jasný problém pro celou řadu moderních aplikací.

Michal popisuje možná řešení problému (např. pomocí HTTP hlaviček) a navrhuje začlenění některého z nich do specifikace HTML5. Editor specifikace Ian Hickson se o řešení plánuje poradit s výrobci prohlížečů. Zájemci o problematiku, nechť si přečtou celé vlákno konference.

Dále čtěte…         

Předchozí zprávička Následující zprávička        
Tweetni to Twitter Jaggni to! Jagg Del.icio.us Delicious
       
Josef Kotva
Josef Kotva
8. 10. 2008 16:55 Nový

Nic nového

celé vlákno
Hmm, takže v podstatě klasické XSRF. Jen tomu dal "kchůl" jméno, zřejmě aby byl dostatečně "in" až o tom bude mluvit.
Odpovědět
Další nový názor     
pingu
pingu (neregistrovaný) ---.upce.cz
8. 10. 2008 17:40 Nový

Re: Nic nového

celé vlákno
no, uz pred par lety jsem zaznamenal nejake doporuceni, ze se kolacky nemaj pouzivat...
Odpovědět
Další nový názor     
Tomáš Kopečný
Tomáš Kopečný
8. 10. 2008 17:46 Nový

Re: Nic nového

celé vlákno
Koláčky proč ne, ale pak je dobré ověřit nějakou akci (smazání, přidání, ...) pomocí nějakého tokenu:-)
Odpovědět
Další nový názor     
edois
edois (neregistrovaný) ---.osobnosti.cz
9. 10. 2008 8:03 Nový

Re: Nic nového

celé vlákno
Tady je právě blbé to, že ta stránka v iframu tam ten token dá a všechno vypadá OK..
Odpovědět
Další nový názor     
Sten
Sten (neregistrovaný) ---.net.upc.cz
9. 10. 2008 23:57 Nový

Re: Nic nového

celé vlákno
Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?
Odpovědět
Další nový názor     
Sten
Sten (neregistrovaný) ---.net.upc.cz
9. 10. 2008 23:58 Nový

Re: Nic nového

celé vlákno
Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?
Odpovědět
Další nový názor     
Martin Hassman aura:30
Martin Hassman
8. 10. 2008 19:04 Nový

Re: Nic nového

celé vlákno

Nejedná se o totéž. Klasická ochrana proti XSRF je na clickjacking krátká, protože v tomhle případě skutečně uživatel klikne na tlačítko správného formuláře na té správné doméně.

U XSRF obvykle odesíláme formulář z naší domény, před čímž se lze u aplikace bránit např. přidáním skrytého formulářového pole s dostatečně dlouhým neohadnutelným hashem. Ovšem u Clickjackingu tohle nepomůže, tam odejte k odeslání formuláře, který toto skryté pole obsahuje, protože to, co bylo "ukradeno" je skutečně jen ono kliknutí uživatele (proto click-jacking).

Odpovědět
Další nový názor     
Martin Straka
Martin Straka (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
8. 10. 2008 23:12 Nový

Re: Nic nového

celé vlákno
Jak pise Martin, jde o neco jineho nez XSRF a klasicke ochrany proti XSRF se tim daji obejit, pekna demonstrace (pocs.zip):

http://lab.gnucitizen.org/projects/ui-redress-attacks
Odpovědět
Další nový názor     
Jan Pejša aura:95
Jan Pejša
29. 10. 2009 20:51 Nový

Re: Nic nového

celé vlákno

i když to už udělali jiní, tak se k nim s radostí připojím:
clickjacking není CSRF (nebo chcete-li XSRF)

http://zdrojak.root.cz/…k-se-branit/

Odpovědět
Další nový názor     
repulsive
repulsive (neregistrovaný) 147.33.1.---
8. 10. 2008 17:51 Nový

chybička

celé vlákno 
Míchal
guláš míchal
kozu píchal
Odpovědět
Další nový názor     
..
.. (neregistrovaný) 89.235.10.---
8. 10. 2008 21:06 Nový

Re: chybička

celé vlákno
Houbičky??
Odpovědět
Další nový názor     
Vaclav Balak aura:62
Vaclav Balak
9. 10. 2008 10:04 Nový

Re: chybička

celé vlákno
jeste nerostou...
Odpovědět
Další nový názor     
majky8
majky8 (neregistrovaný) ---.bvx.cz
9. 10. 2008 16:08 Nový

Re: chybička

celé vlákno
to by jste se divil :)
Odpovědět
Další nový názor     
IT Edo
IT Edo
9. 10. 2008 13:09 Nový

NoScript

celé vlákno
http://www.linuxos.sk/sprava_zobraz_komentare/2078/index.html
Odpovědět
Zasílat nově přidané příspěvky e-mailem        

Přehled názorů

Nic nového
Josef Kotva 8. 10. 2008 16:55
├ 
 Re: Nic nového
pingu 8. 10. 2008 17:40
│
├ 
 Re: Nic nového
Tomáš Kopečný 8. 10. 2008 17:46
│
│
└ 
 Re: Nic nového
edois 9. 10. 2008 08:03
│
├ 
 Re: Nic nového
Sten 9. 10. 2008 23:57
│
└ 
 Re: Nic nového
Sten 9. 10. 2008 23:58
├ 
 Re: Nic nového
Martin Hassman 8. 10. 2008 19:04
├ 
 Re: Nic nového
Martin Straka 8. 10. 2008 23:12
└ 
 Re: Nic nového
Jan Pejša 29. 10. 2009 20:51
chybička
repulsive 8. 10. 2008 17:51
└ 
 Re: chybička
.. 8. 10. 2008 21:06
 
└ 
 Re: chybička
Vaclav Balak 9. 10. 2008 10:04
 
 
└ 
 Re: chybička
majky8 9. 10. 2008 16:08
NoScript
IT Edo 9. 10. 2008 13:09
Přidat názor Zobrazit vše