Wie die Webseite Heise berichtet, bleibt das Problem bei Internetbrowsern vor erst noch bestehen. Momentan haben die Browser Hersteller das Problem rund um Clickjacking anscheinend immer noch nicht in den Griff bekommen. Clickjacking funktioniert, in denen dem User vorgespielt wird auf eine Information zu Klicken was jedoch mittels eines durchsichtigen i-frames eine Aktion auf einer anderen Webseite auslöst.
Ein so genanntes i-Frame ist ein Rahmen, der ähnlich einem Bilderrahmen funktioniert. Ein i-Frame zeigt innerhalb dieses Frames (Rahmen) eine andere Webseite als diejenige, die der User gerade betrachtet. Auf Heise/Security wird auch eine Demo veröffentlicht wo solch ein Clickjacking eindrucksvoll vorgeführt wird. Als Angriffsziel wurde hier die Webseite facebook.com angeführt.
In der Vergangenheit gab es bereits ähnliche Angriffe welche auf allerlei größere bekannte Webseiten zurückzuführen waren. Im Zuge dessen auch auf Twitter.com. Um diesem Problem auf den Grund zu gehen verlautet es auf Heise:
"US-Medienberichten zufolge will Facebook gegen derartige Angriff mit Blacklists vorgehen, um die Verbreitung von Links zu präparierten Webseiten im eigenen System zu verhindern. Das löst das eigentliche Problem jedoch nicht. Grundsätzlich sind viele andere Webseiten und Anwender von dem seit nunmehr über einem Jahr bekannten Clickjacking-Problem betroffen."
Die Idee mit Black Lists, White Lists und Gray Lists zu arbeiten wie man es bereits aus der Email Security heraus kennt dürfte hier kaum funktionieren.Bereits heute lassen sich sehr schnell automatisch 10 tausende von Domains per Knopfdruck umleiten auf jedwede Webseite die man möchte. Auf diese Art werden sehr schnell sehr viele Domains gesammelt werden die turnusmäßig immer wieder neu auf Schadsoftware ( so genannte Malware) geprüft werden müssen.
Heise empfiehlt an dieser Stelle das Browser Browser im Techniklexikon Plugin für den Firefox Browser namens NoScript |
Deutsch
Englisch
Französisch
Italienisch
