Clickjacking: i browser non possono semplicemente vietare / rifiutare di posizionare elementi trasparenti sui frame?

2

Perché no? Sembra che questo sia usato solo per il clickjacking, la soluzione dovrebbe essere abbastanza semplice.

    
posta Vixane 29.01.2012 - 20:53
fonte

4 risposte

9

Eliminare l'opacità sugli elementi contenenti un iframe avrebbe un impatto negativo delle interfacce utente (ad esempio, nessun effetto di dissolvenza gradevole quando gli iframe sono in gioco), ma non bloccherebbe gli attacchi di clickjacking.

Anche se gli iframe trasparenti erano impossibili, si potevano comunque ottenere tutti gli stessi attacchi usando un iframe di 1x1 pixel che seguiva il puntatore. Il posizionamento all'interno di quel pixel può essere ottenuto scorrendo un iframe doppiamente annidato. La potenziale differenza di un pixel sotto il puntatore a riposo sarebbe quasi certamente non rilevabile per l'utente.

Quindi, sì, un browser potrebbe bloccarlo e temporaneamente essere protetto da una forma di attacco comune. Ma non appena un numero significativo di utenti dispone di browser che lo fanno, l'hacker modificherà semplicemente la tecnica di implementazione. Questo è un esempio di una "correzione" che funziona solo rendendo qualcun altro il frutto a bassa attaccatura; una volta che tutti iniziano a farlo, non è affatto una soluzione. Di conseguenza, ha senso implementare per un'estensione del browser che non molti usano, ma non ha senso per un browser popolare.

    
risposta data 30.01.2012 - 09:01
fonte
5

Alcuni plug-in faranno questo, o ti avviseranno di quando si sta verificando. Controlla NoScript .

    
risposta data 29.01.2012 - 21:11
fonte
1

FYI ci sono altri modi per fare clickjacking senza trasparenza iframe, quindi non sarebbe di aiuto comunque.

  • inserire un elemento non trasparente su un iframe e impostare alcuni CSS per renderlo trasparente solo agli eventi del mouse
  • cambia lo stile del cursore in qualcosa di non molto visibile e mettendo un mouse falso che verrà mostrato a 200 pixel a sinistra di quello reale

L'unico modo per prevenire il clickjacking è alterare il gui (posizionamento casuale del pulsante BUY?) o creare sequenze di conferma per azioni critiche (es. forzare le persone a usare la tastiera)

    
risposta data 06.04.2012 - 19:40
fonte
1

Anche se i browser non consentono di sovrapporre gli elementi (oltre gli iframe) e hanno capito come trattare (quando negano) con l'opacità. Esistono ancora tecniche di clickjacking che possono aggirare queste regole, ad esempio, iframe ridimensionato a 1 × 1 pixel e poi l'attaccante aggiunge tanti iframe quanti ne ha bisogno per disegnare grafica personalizzata usando quegli iframe.

    
risposta data 24.07.2012 - 02:17
fonte

Leggi altre domande sui tag