Clickjacking: ¿no pueden los navegadores simplemente prohibir / rechazar la colocación de elementos transparentes sobre los marcos?

Navega tus respuestas
2

¿Por qué no? Parece que esto solo se usa para clickjacking, la solución debería ser lo suficientemente simple.

    
pregunta Vixane 29.01.2012 - 20:53
fuente

4 respuestas

9

Prohibir la opacidad en los elementos que contienen un iframe tendría un impacto negativo en las interfaces de usuario (por ejemplo, no hay efectos de atenuación cuando los iframes están en juego), pero no bloquearía los ataques de clickjacking.

Incluso si los iframes transparentes fueran imposibles, aún podría lograr los mismos ataques utilizando un iframe de 1x1 píxeles que siguió al puntero. El posicionamiento dentro de ese píxel se puede lograr desplazando un iframe anidado doblemente. La posible diferencia de un píxel debajo del puntero en reposo casi seguramente no será detectable por el usuario.

Entonces, sí, un navegador podría bloquearlo y estar temporalmente protegido contra una forma común de ataque. Pero tan pronto como un número significativo de usuarios tenga navegadores que hagan eso, el atacante simplemente cambiará la técnica de implementación. Este es un ejemplo de un 'arreglo' que solo funciona al hacer que otra persona sea la fruta de bajo rendimiento; Una vez que todos comienzan a hacerlo, ya no hay solución. Por consiguiente, tiene sentido implementar para una extensión de navegador que no utilizan muchas personas, pero no tiene sentido para un navegador popular.

    
respondido por el bobince 30.01.2012 - 09:01
fuente
5

Algunos complementos harán esto, o le avisarán cuando esté ocurriendo. Consulte NoScript .

    
respondido por el Iszi 29.01.2012 - 21:11
fuente
1

Para tu información, hay otras formas de hacer clickjacking sin transparencia iframe, por lo que no sería de ayuda de todos modos.

  • colocar un elemento no transparente encima de un iframe y configurar algo de CSS para que sea transparente solo para los eventos del mouse
  • cambie el estilo del cursor a algo que no sea muy visible y coloque un mouse falso que se mostrará a 200px a la izquierda del real

La única forma de evitar el clickjacking es alterar la gui (¿posicionamiento aleatorio del botón COMPRAR?) o crear secuencias de confirmación para acciones críticas (por ejemplo, obligar a las personas a usar el teclado)     

respondido por el naugtur 06.04.2012 - 19:40
fuente
1

Incluso si los navegadores no permiten la superposición de elementos (sobre iframes) y descubren cómo lidiar (cuando se niega) con opacidad. Todavía hay técnicas de clickjacking que pueden solucionar estas reglas, por ejemplo, iframe redimensionado a 1 × 1 píxel y luego el atacante agrega tantos iframes como necesite para dibujar gráficos personalizados utilizando esos iframes.

    
respondido por el Paul Podlipensky 24.07.2012 - 02:17
fuente

Lea otras preguntas en las etiquetas

Qué navegadores están usando openssl Seguridad al abrir archivos .txt a través de la URL