¿Protección contra el clickjacking en Firefox sin instalar complementos?

7

En algunas de mis estaciones de trabajo nunca permito Javascript en Firefox. El complemento NoScript está instalado en estas máquinas, pero me gustaría eliminarlo y desactivar Javascript a través de about:config en su lugar. Sin embargo, parece que NoScript también protege contra el clickjacking y, que yo sepa, NO se requiere Javascript para que este ataque tenga éxito.

¿Qué puedo hacer para estar protegido contra el clickjacking en Firefox, sin instalar ningún complemento?

EDIT:

Estoy buscando una solución que NO requiera la instalación de complementos, pero se puede configurar en about:config

    
pregunta user83098 10.08.2015 - 16:48
fuente

1 respuesta

3

Firefox no tiene una opción para convertir los iframes en about:config , consulte este informe de error . Tampoco es muy probable que obtenga esa opción pronto, ya que este problema se informó por primera vez hace 15 años.

Puedes deshabilitar los iframes sin complementos usando CSS personalizado ( iframe { display: none !important; } ). Esto se haría a través de un archivo CSS en /~/.mozilla/firefox/<random-id>.default/chrome/userContent.css . Esta configuración no debe ser sobrescribible a través de un sitio web CSS (pero las futuras versiones de Firefox podrían, por supuesto, permitir que un sitio web sobrescriba un CSS personalizado, lo que permitiría que un atacante omita esto).

ClickJacking no debería ser posible sin iframes (aunque es posible que haya una forma a través de la etiqueta embed , pero no funcionó para mí).

Personalmente, probablemente confíe en NoScript más que en este enfoque, pero si definitivamente no desea instalar complementos, esta podría ser la mejor manera de hacerlo.

    
respondido por el tim 10.08.2015 - 19:50
fuente

Lea otras preguntas en las etiquetas