clickjacking style spoofing 29. Jan 2009

Wer sich das Fürchten lehren möchte der sollte sich mal diese clickjackingartige Demo angucken. Einfach mal den Mauszeiger auf den untersten Link bewegen und gucken welcher Link in der Statuszeile angezeigt wird, dann darauf klicken und nun die Adresszeile kontrollieren. Im Internet Explorer klappt die Demo nicht, aber er ist ebenfalls prinzipiell anfällig für die Sicherheitslücke. Gut ist auch dieses Video zu einer anderen Demo. Ergo: Seinen Klicks und der Statuszeile kann man derzeit nicht trauen. Und nein, ich werde jetzt nicht auf Lynx umsteigen, nur weil der von diesem Problem nicht betroffen ist.

 

Kommentare (7)

  1. b. About 1 hour later

    Die Demo hat bei mir nicht funktioniert. Ich verwende Mozilla Firefox 3.0.5 mit ein paar nuetzlichen Plugins. Aber ja, ich bin mir der Problematik durchaus bewusst.

  2. Stefan About 1 hour later

    Wenn ich Firefox 3.0.5 verwende, dann klappt es bei mir. Es hängt vermutlich mit deinen Browsereinstellungen, einer deiner Erweiterungen oder eventuell auch mit der Plattform zusammen.

  3. b. About 1 hour later

    Nee, ich verwende grundsaetzlich kein JavaScript.

  4. Stefan About 2 hours later

    Also bei mir ist JavaScript eine Browsereinstellung :)

  5. b. About 2 hours later

    Bei mir eine Einstellung in einem Browserplugin im Browser.

  6. Stefan About 2 hours later

    Welche Vorteile bietet denn deine Vorgehensweise?

  7. b. About 4 hours later

    Ich verwende unter anderen NoScript als Browserplugin.

Kommentar schreiben

Markdown Syntax