Tobias Scheible Cyber Security & IT-Forensik Dozent
Schutz vor Clickjacking

X-Frame-Options – Schutz vor Clickjacking

Der Sicherheitsexperte Luca de Fulgentis von NibbleSecurity hat vor kurzem gezeigt, dass die Systeme von Amazon, Google, Microsoft und Yahoo unzureichend vor Clickjacking-Angriffen geschützt sind. Dabei könnten diese einfach verhindert werden.

Sonntag, 27. Januar 2013
0 Kommentare

Bei einem Clickjacking-Angriff wird ein User auf einer Website dazu verleitet, auf ein Objekt zu klicken. Dabei wird dieses Objekt aber von einer anderen Website überlagert, so dass der User auf einer anderen Seite eine Aktion auslöst, ohne dass er sich dessen bewusst ist. So kann jede beliebige Aktion ausgelöst werden. Und für diese Angriffsmethode sind selbst einige großen Seiten dafür anfällig, obwohl die Angriffsmethode schon länger bekannt ist.

Mit dem HTTP-Header Befehl X-Frame-Options können moderne Webbrowser angewiesen werden, eine Seite nicht in einem Frame auf einer andere Website zu laden. Dafür muss der folgende Befehl in der htaccess-Datei gesetzt werden:

Header always append X-Frame-Options DENY

Alternativ kann erlaubt werden, dass die Seite nur auf anderen Seiten der gleichen Domain eingebunden werden dürfen (darf):

Header always append X-Frame-Options SAMEORIGIN

Falls eine Website doch extern eingebunden werden muss, kann eine Domain angegeben werden:

Header always append X-Frame-Options ALLOW-FROM scheible.it

Weitere Informationen gibt es bei Heise oder in dem Blog-Eintrag von Luca de Fulgentis.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzerklärung des Blogs.