Dieses und Jenes zum Clickjacking
Zum Abschluss der Aktualisierungen zum Thema "Clickjacking" gibt es noch eine bunte Mischung von Informationen. Der Einfachheit halber nach Datum sortiert.
Zum Abschluss der Aktualisierungen zum Thema "Clickjacking" gibt es noch eine bunte Mischung von Informationen. Der Einfachheit halber nach Datum sortiert.
Wie angekündigt geht es in dieser Folge um den Einsatz des Triple Handshake Angriff auf TLS im Web.
Das folgende "Bild" zeigt die drei Handshakes des Triple Handshake Angriffs im Zusammenhang (nach den ersten drei Bildern in "Triple Handshakes Considered Harmful: Breaking and Fixing Authentication over TLS").
Es wurde ein neuer Angriff auf das TLS-Protokoll entdeckt, der den Einsatz von Client-Zertifikaten betrifft: Verbindet sich ein TLS-Client mit einem bösartigen Server und präsentiert dem sein Zertifikat, kann der Server sich gegenüber einen anderen Server, der dieses Zertifikat akzeptiert, als der betreffende Benutzer ausgeben.
Clickjacking basiert darauf, dass das anzuklickende Ziel in einem unsichtbaren iframe verborgen ist. Ein Schutz vor Clickjacking könnte also darin bestehen, die Sichtbarkeit des anzuklickenden Buttons etc. zu prüfen und Klicks auf unsichtbare Objekte nicht zu akzeptieren. Leider lässt sich das menschliche Auge austricksen, so dass Clickjacking auch dann möglich ist, wenn das Ziel sichtbar ist. Das ganze funktioniert dann wie bei Zaubertricks: Der Benutzer wird abgelenkt, so dass er gar nicht merkt, was er da gerade anklickt.