702654

Was bringt der Clickjacking-Schutz im IE8?

03.04.2009 | 10:08 Uhr |

Microsofts Internet Explorer 8 ist der erste Browser mit einem eingebauten Schutzmechanismus gegen Clickjacking-Angriffe. Wir erläutern, was Clickjacking-Angriffe sind und wie der Schutz davor im Internet Explorer 8 arbeitet,

Von Clickjacking, dem Entführen von Mausklicks, spricht man, wenn etwa eine Schaltfläche innerhalb einer Web-Seite durch ein transparentes Element überlagert wird, das den Mausklick umleitet. Microsofts Lösungsstrategie setzt allerdings voraus, dass Website-Betreiber ihre Seiten daran anpassen. Andernfalls bleibt der Schutz wirkungslos.

Sie müssen in die Server-Antwort auf einen Seitenaufruf (den so genannten Response Header) eine Zeile namens „X-FRAME-OPTIONS" einfügen. Wird der Wert der Variablen auf „DENY" (verweigern) gesetzt, stellt der IE die Seite nicht in einem Frameset dar. Weist man ihr den Wert „SAMEORIGIN" (gleicher Ursprung) zu, bleiben Framesets desselben Servers unangetastet, in einem fremden Frameset wird die Seite hingegen nicht angezeigt.

Die Entdecker der Clickjacking-Angriffe sehen das neue Schutzverfahren als völlig unzureichend an. Es berücksichtige nur einen Teilaspekt, und Anwender bekämen damit keine Möglichkeit in die Hand, sich zu schützen, könnten sich aber fälschlich für gefeit halten. Microsoft dagegen hat dieses Verfahren auch den anderen Browser-Herstellern vorgeschlagen. Giorgio Maone, Entwickler der Firefox-Erweiterung Noscript, will sein Add-on jedenfalls zu der Microsoft-Idee kompatibel machen und sich dafür einsetzen, dass auch Firefox den neuen „X-Frame-Header“ in einer zukünftigen Version unterstützt.

Download: Internet Explorer 8

0 Kommentare zu diesem Artikel
702654