Stiamo sviluppando un'applicazione mobile (m.website.com).
C'è un modo per impedire a uno sviluppatore disonesto di creare un'app nativa IOS / Android che incapsuli semplicemente il nostro sito Web nell'app utilizzando Webkit per eseguire attacchi UI Redress o clickjacking?
(Sappiamo che l'intestazione HTTP "X-Frame-Options: Sameorigin" è efficace nello scenario di un sito Web malevolo che incapsula (frame) un altro sito Web, ma come prevenire l'incapsulamento da parte di un'app mobile nativa?)
Un utente non può fidarsi di una pagina web che si trova all'interno di un'app di cui non si fida .
Pertanto, se ci fosse un attacco di riparazione UI contro il tuo sito web quando si utilizza una particolare app, allora sarebbe colpa dell'utente fidarsi dell'applicazione.
Inoltre, se uno sviluppatore di applicazioni voleva che gli utenti facessero clic su qualcosa sul tuo sito usando il telefono, allora lo avrebbero semplicemente codificato nella loro applicazione. Non avrebbero bisogno che l'utente lo faccia. I browser all'interno delle applicazioni utilizzano un diverso set di cookie rispetto al browser del telefono, pertanto ciò non influisce sulle sessioni esistenti dell'utente. Avrebbero dovuto accedere al tuo sito nella finestra del browser dell'applicazione e, a quel punto, un'applicazione rogue avrebbe potuto semplicemente raccogliere le credenziali comunque.
Correggere, impostando X-Frame-Options è una buona idea, ma hai fiducia nel browser per applicarlo. Non puoi difenderti da un browser non affidabile.
Ciò che ti rimane è sorvegliare gli app store per app che fingono di essere te.
Leggi altre domande sui tag mobile ios android web-application clickjacking