mboost-dp1
Clickjacking
Jeg har lige set [url= Ways I'm Going to Hack Your Web App[/url] og jeg synes ikke om de forslag de har til hvordan man beskytter imod clickjacking. Og jeg så også på Wikipedia artiklen om clickjacking og fandt heller ikke der nogen bedre forslag.
I videoen går alle deres forslag ud på at forhindre brug af iframes. Men hvis jeg bruger en webapplikation der som en feature kan vise vilkårlige websider i en iframe, så udgør det et DoS angreb imod den webapplikation. Så alle deres "løsninger" vil som en bieffekt ødelægge andre webapplikationer.
Derudover gør deres anbefalede løsning brug af javascript. Men der findes websites som ikke bruger javascript, og den slags sites skal også kunne beskyttes imod clickjacking.
Jeg tænker at der må da findes en god løsning som ikke i sig selv introducerer massevis af nye problemer. Er her nogen som har et bud på nogle best practices som forhindrer clickjacking uden brug af javascript og som stadig tillader iframes?
I videoen går alle deres forslag ud på at forhindre brug af iframes. Men hvis jeg bruger en webapplikation der som en feature kan vise vilkårlige websider i en iframe, så udgør det et DoS angreb imod den webapplikation. Så alle deres "løsninger" vil som en bieffekt ødelægge andre webapplikationer.
Derudover gør deres anbefalede løsning brug af javascript. Men der findes websites som ikke bruger javascript, og den slags sites skal også kunne beskyttes imod clickjacking.
Jeg tænker at der må da findes en god løsning som ikke i sig selv introducerer massevis af nye problemer. Er her nogen som har et bud på nogle best practices som forhindrer clickjacking uden brug af javascript og som stadig tillader iframes?
Gå til top
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Programmering
Gå til bund