Ohne Biss
Clickjacking-Schutz in IE 8 zahnlos
Microsofts Internet Explorer 8 RC1 soll der erste Browser mit eingebautem Schutzmechanismus gegen Clickjacking-Angriffe sein. Tatsächlich kann der Schutz nur wirken, wenn Website-Betreiber ihre Seiten gezielt verändern.
Microsoft hat in dieser Woche eine erste Vorabversion des neuen Internet Explorer 8 bereit gestellt, die das Beta-Teststadium hinter sich lässt. Mit dem IE 8 RC1 (Release Candidate 1) hat Microsoft auch verschiedene Sicherheitsfunktionen implementiert, darunter den so genannten "InPrivate"-Modus. Außerdem soll der IE 8 der erste Browser mit einem Schutz vor so genannten "Clickjacking"-Angriffen sein. Die Microsoft-Lösung schützt allerdings solange nicht, wie der Betreiber einer potenziell gefährdeten Website diesen Schutz nicht explizit anfordert.
Von Clickjacking, dem Entführen von Mausklicks, spricht man, wenn etwa eine Schaltfläche innerhalb einer Web-Seite durch ein transparentes Element überlagert wird, das den Mausklick umleitet. So kann etwa ein "Abbrechen"-Knopf mit einem nicht sichtbaren "Ausführen"-Knopf überlagert sein. Der bewirkt womöglich das Gegenteil von dem, was Besucher der Web-Seite erwarten.
Ein Angriffsszenario entsteht dadurch, dass dieses zweite Element durch eine Fremdmanipulation eingefügt wird. Ein denkbares Szenario ist das Anzeigen einer Web-Seite innerhalb eines fremdem Framesets. Vom dem Frameset aus sind Manipulationen möglich ohne den Quelltext der Web-Seite zu verändern, man spricht von CSRF-Angriffen (Cross-Site Request Forgery). So kann etwa auch der komplette Inhalt der Web-Seite von anderen Inhalten verdeckt werden, nur der "Abschicken"-Knopf bleibt frei. Der Besucher wird über die wahre Natur der ausgelösten Aktion getäuscht.
Genau dieses Szenario will Microsoft mit dem IE 8 entschärft haben. Betreiber einer Website können in die Antwort an den Browser (den so genannten Response Header) eine Zeile namens "X-FRAME-OPTIONS" einfügen. Wird dieser Variablen der Wert "DENY" (verweigern) zugewiesen, stellt der IE 8 die Web-Seite nicht in einem Frameset dar. Weist man ihr den Wert "SAMEORIGIN" (gleicher Ursprung) zu, bleiben Framesets desselben Servers unangetastet, in einem fremden Frameset wird die Seite hingegen nicht angezeigt. Stattdessen zeigt der IE 8 eine Fehlerseite an, die den Benutzer informieren soll.
Microsoft-Manager Eric Lawrence erklärt dazu im IE Blog, Microsoft habe dieses Verfahren auch den anderen Browser-Herstellern vorgeschlagen und hoffe, diese würden es ebenfalls implementieren. Die Entdecker der Clickjacking-Angriffe sehen dieses Verfahren hingegen als völlig unzureichend an, so etwa Robert Hansen von SecTheory. Es behandele nur einen Teilaspekt des Problems und es würde Jahre dauern, bis sich das Verfahren auf breiter Front durchsetzen könnte. Jeremiah Grossman von White Hat Security kritisiert, dass Anwender damit keine Möglichkeit in die Hand bekämen sich zu schützen, sich aber fälschlich für geschützt halten könnten.
Bislang bringt noch kein Browser einen serienmäßigen Schutz vor Clickjacking mit. Nutzer des IE 8 sind lediglich im Einzelfall geschützt, sofern der Betreiber einer Website seinen Code entsprechend geändert hat. Firefox-Nutzer können die kostenlose Erweiterung NoScript verwenden, die einen aktiven Clickjacking-Schutz namens "ClearClick" enthält. NoScript-Entwickler Giorgio Maone will seine Erweiterung zu der Microsoft-Idee kompatibel machen und sich dafür einsetzen, dass auch Firefox diesen "X-Frame-Header" in einer zukünftigen Version unterstützt.
