News 10.10.2008, 12:32 Uhr

Clickjacking – so schützen Sie sich

Viele Browser und Webseiten sind anfällig für Clickjacking. Mozilla bietet eine Waffe gegen diese Angriffsart: das überarbeitete Firefox-Add-On NoScript.
Bei Clickjacking lassen die Kriminellen Anwender anstatt auf legitime Links auf Stellen klicken, die eine bestimmte Aktion auslösen. Beispielsweise könnte so eine Websiteschaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlegt werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.
Hilfe verspricht NoScript, das Add-On für Mozillas Firefox. Es blockiert das Ausführen von JavaScript auf Webseiten. Der Anwender muss diese ausdrücklich freigeben. Ab sofort steht die aktualisierte Version 1.8.2.1 zur Verfügung. Dabei verspricht die NoScript-Funktion «ClearClick» versteckte Links zu entdecken und davor zu warnen.


Kommentare

Avatar
Felix_
10.10.2008
Könnte man nicht mal artikel machen, die einem wirklich interessieren? Zum Beispiel, wie man das Ding richtig konfiguriert und einstellt, weil es unterdessen so mächtig und vielfältig geworden ist, dass selbst ich den Durchblick verloren habe. NoScript blockiert so ziemlich viel, und wenn User Normalo damit surft, bleibt er wohl sehr oft hängen - ohne zu merken, dass NoScript dafür verantwortlich ist. Letzthin mit dem Update auf 1.8.irgendwas, als man plötzlich nicht mehr bei ebay einloggen konnte. Die nötigen Einstellungen dazu fand ich nicht ganz simpel...

Avatar
pelle
10.10.2008
Version 1.8.2.2 Unterdessen ist bereits wieder eine neue Version erhältlich: 1.8.2.2. Hier ein Auszug aus der Homepage von NoScript: ... most false positive have already been eliminated in 1.8.2.2 ...

Avatar
sergey
10.10.2008
NoScript ist ziemlich einfach zum einstellen. Wenn man weiss wie. ;) Auf jeden Fall installieren, und danach auf Seiten denen man vertraut, freigeben. Gruss sergey

Avatar
maedi100
10.10.2008
seit wann hat "Mozilla" den Schutz? (ist doch von noscript xD )

Avatar
pagefault
12.10.2008
Gibts schon seit jahren....NoScript schon, ja - aber die ClearClick Funktionalität wurde erst gerade hinzugefügt (und um die geht es imho im Artikel).

Avatar
froeschli
12.10.2008
Auf jeden Fall installieren, und danach auf Seiten denen man vertraut, freigeben. Ich hatte mit der Vorletzten Version Probleme beim Aufrufen von Fahrplänen auf http://sbb.ch/ weil diese Seite auf http://fahrplan.sbb.ch/ weiterleitet. Bis ich raus gekriegt habe, dass NoScript hier einen Fall von XSS vorliegen sah, gab es schon wieder ein Update. Mit der neuesten Version [EDIT: Version 1.8.2.8] läuft wieder alles wie gewohnt. Gruss froeschli

Avatar
sergey
13.10.2008
Das nachladen von Inhalten anderer Seiten ist ja automatisch blockiert. Freigeben muss man die dann noch, bei der SBB hatte ich nur zu beginn Probleme. (Bis freigegeben) Gruss sergey

Avatar
coceira
16.10.2008
Mit Extended Validation-SSL-Zertifikaten beweisen Unternehmen Besuchern ihrer Website, dass ihre Identität stimmt und der Besuch vertrauenswürdig ist. Dafür installiert sich beim Besuch einer EV-zertifizierten Website automatisch ein Aktualisierungsprogramm, der „VeriSign EV Upgrader“. Er funktioniert bei allen Clients mit Windows Internet Explorer 7 (IE7). EV Upgrader ist eine serverseitige Anwendung, die zugreifende IE7-Systeme auffordert, ihre VeriSign SSL-Zertifikat-Roots zu aktualisieren. Microsoft hat Internet Explorer speziell darauf ausgelegt, derartige Root-Updates zuzulassen, daher wird das Update unmittelbar und unauffällig durchgeführt. Nach Abschluss der Installation wird die Webadresse im entsprechenden Browserfeld beim Besuch einer Website mit EV-Zertifikat grün unterlegt. Dieses Whitepaper von VeriSign befasst sich mit der Verhaltensweise von EV Upgrader und wie er die Root-Installation in Windows XP-Betriebssystemen initiiert. ......und was haben unsere "freunde" sonst noch eingebaut ? gehoert imho doch auch in rubrik malware, ich wuesste schon gern wann und warum auf meinem system rumbastelt wird.

Avatar
BlackIceDefender
16.10.2008
EV-SSL erscheint oberflaechlich etwas OT, da es beim clickjacking und drive-by wieder einmal um die script-runtimes geht. EV (Extended Verification) erscheint als Prozess, wo in diversen Schritten die Authentizitaet des Antragstellers fuer ein Server-seitiges Zertifikat ueberprueft wird. sehr gut. Der Prozess involviert drittparteien zur ueberpruefung der div. informationsquellen und externes auditing. was verisign (einer von div. anbietern fuer ev-zertifikate) da aber mit dem ev upgrader tut, ist schon ein bisschen in der grauzone. als beispiel hier ein zitat in ingles: EV Upgrader operates on a very simple principle. The site containing an EV SSL Certificate from VeriSign adds an invisible JavaScript™ link to one or more of its pages. This link initiates a connection with a specific Web site that VeriSign has set up explicitly for this purpose. The address of that domain is https://extended-validationssl.verisign.com, and if you access it by typing that address into any Web browser, you'll simply see explanatory information on EV SSL Certificates. What you don't see is that this site contains an SSL Certificate that chains up only to the new VeriSign EV root. This fact is exhibited in the behavior of pre-EV browsers, which will warn the user of the presence of an untrusted root should they access the site. When an IE7 browser connects with this page, it automatically downloads and installs this new root from the Microsoft® Root Store. The browser installs only the root required by the site to which it's connecting and no other roots ... Certainly it would be possible for sites to install this JavaScript prompt directly onto their own pages. However, VeriSign makes it as easy as possible for online businesses to gain the full benefit of their EV certificates by building the functionality directly into the VeriSign Secured Seal. That means by simply installing the VeriSign Secured Seal on your Web site, you automatically add EV Upgrader and subsequently trigger root installation on all eligible client systems. das ganze whitepaper ist hier: http://www.verisign.com/static/DEV040123.pdf (habe kein deutsches equivalent gefunden). das liest sich wie die anleitung zu fortgeschrittener implementierung von malware. es betrifft nur verisign und wie es ausschaut nur IE7. man kann in den eigenschaften des ie verisign als trusted publisher ausschalten. aber dass muesste ich erst mal selber ausprobieren.. Die Universitaet von Stanford betitelt den EV-SLL Prozess als 'Certifiably Useless' : http://www.usablesecurity.org/papers/jackson.pdf If extended validation becomes widespread, we expect that online criminals will try to mimic its trust indicator, just as they have copied other legitimate financial websites in the past. Like its predecessor, the lock icon, extended validation is vulnerable to picture-in-picture user interface spoofing attacks. We found these attacks to be as effective as homograph attacks, the best known phishing attack. Designing a user interface that resists both homograph and picture-inpicture attacks should be a high priority for designers of future browsers.