https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=ClickjackingClickjacking - Versionsgeschichte2026-05-18T17:49:58ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Clickjacking&diff=1486050&oldid=previmported>SchlurcherBot: Bot: http → https2026-02-15T12:48:45Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>'''Clickjacking''' ist eine Technik, bei der ein [[Hacker (Computersicherheit)|Computerhacker]] die Darstellung einer [[Internetseite]] überlagert und dann deren Nutzer dazu veranlasst, scheinbar harmlose [[Mausklick]]s und/oder Tastatureingaben durchzuführen.<br />
<br />
== Funktionsweise ==<br />
Angreifer lassen die ahnungslosen Anwender –&nbsp;scheinbar&nbsp;– auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User –&nbsp;anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken&nbsp;– eine vom Hacker definierte, beliebige Aktion auslöst.<br />
<br />
Dies betrifft Seiten, die beispielsweise Links und Schaltflächen zur Konfiguration von Systemeinstellungen enthalten.<br />
Während der Nutzer also denkt, er tätige harmlose Eingaben in einer Internetseite, ändert er in Wahrheit, ohne es zu merken, z. B. Einstellungen einer angeschlossenen [[Kamera]] oder eines [[Mikrophon]]s.<br />
<br />
Beispielsweise kann so auch eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlagert werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.<br />
<br />
== Gegenmaßnahmen ==<br />
<br />
Clickjacking ist ein konzeptionelles Problem von JavaScript und Webanwendungssicherheit. Es beruht nicht auf einem „Fehler“ des Anwendungsprogrammierers, insofern sind Gegenmaßnahmen nicht trivial.<br />
<br />
Fast alle Browser haben inzwischen die Möglichkeit eingeführt, dass Webanwendungen einen Header „X-Frame-Options“<ref>{{Webarchiv|url=https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header |wayback=20101007022651 |text=Archivierte Kopie |archiv-bot=2022-10-19 02:45:31 InternetArchiveBot }}</ref> senden, der dem Browser anzeigt, ob die Webseite in einem [[Frame (HTML)|Frame]] angezeigt werden darf oder nicht. Möglich sind hierfür die Werte „DENY“ (Seite darf nicht in Frame angezeigt werden), „SAMEORIGIN“ (Seite darf nur von Frames auf derselben Domain angezeigt werden) und „ALLOW-FROM“ (Seite darf von spezifizierter Domäne und URL angezeigt werden).<ref>https://tools.ietf.org/html/draft-ietf-websec-x-frame-options-00</ref> Voraussetzung für diesen Schutz ist aber, dass er sowohl von der Webanwendung als auch vom Browser unterstützt wird. Der Header ist bislang kein offizieller Standard. Unterstützt wird er vom Internet Explorer ab Version 8.0, Firefox ab 3.6.9, Opera ab 10.50, Safari ab 4.0 und Chrome ab 4.1.249.1042. Konqueror unterstützt diese Möglichkeit nur bei Nutzung der Webkit-Engine, welche das ältere KHTML ablöst.<ref>https://bugs.kde.org/show_bug.cgi?id=259070</ref><br />
<br />
Außerdem besteht die Möglichkeit, in älteren Browsern mit Hilfe eines JavaScript-[[Framekiller]]s die Ausgabe der Seite zu unterbinden. Dabei muss jedoch beachtet werden, dass die Seite vor Ausführung des JavaScripts versteckt ist und erst bei einer erfolgreichen Frame-Überprüfung angezeigt wird. Sonst lässt sich der Framekiller selbst umgehen.<ref>https://seclab.stanford.edu/websec/framebusting/framebust.pdf</ref><br />
<syntaxhighlight lang="javascript"><br />
<style> html{display : none ; } </style><br />
<script><br />
if( self == top ) {<br />
document.documentElement.style.display = 'block' ;<br />
} else {<br />
top.location = self.location ;<br />
}<br />
</script><br />
</syntaxhighlight><br />
<br />
== Literatur ==<br />
* Franco Callegati, Marco Ramilli: ''Frightened by Links.'' In: ''IEEE Security and Privacy.'' 7, 6, Nov. 2009, {{ISSN|1540-7993}}, S. 72–76, {{doi|10.1109/MSP.2009.177}}.<br />
<br />
== Weblinks ==<br />
* [https://www.heise.de/newsticker/meldung/Clickjacking-Jeder-Klick-im-Browser-kann-der-falsche-sein-210045.html Meldung] auf heise.de<br />
* {{cite web|url=http://www.computerworld.ch/aktuell/news/46235/index.html|title=Einzelheiten zu Clickjacking-Angriffen veröffentlicht|publisher=computerworld.ch|date=10. Oktober 2008|accessdate=24. November 2008}}<br />
* [http://www.slideshare.net/embyte/new-insights-into-clickjacking ''New Insights into Clickjacking''] – Owasp AppSec Research 2010<br />
* [http://ui-redressing.mniemietz.de/ UI Redressing: Attacks and Countermeasures Revisited]<br />
* [https://www.security-insider.de/themenbereiche/applikationssicherheit/web-application-security/articles/278097 Web Application Security] Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen<br />
<br />
== Quellen ==<br />
<br />
<references/><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Internetanwendung]]</div>imported>SchlurcherBot