Clickjacking - so schützen Sie sich

Dieser Thread ist Teil einer Diskussion zu einem Artikel:  Zum News-Artikel gehen
F

Felix_

Stammgast
iRoniPod schrieb:
Könnte man nicht mal artikel machen, die einem wirklich interessieren?
Zum Vergrößern anklicken....

Zum Beispiel, wie man das Ding richtig konfiguriert und einstellt, weil es unterdessen so mächtig und vielfältig geworden ist, dass selbst ich den Durchblick verloren habe.

NoScript blockiert so ziemlich viel, und wenn User Normalo damit surft, bleibt er wohl sehr oft hängen - ohne zu merken, dass NoScript dafür verantwortlich ist. Letzthin mit dem Update auf 1.8.irgendwas, als man plötzlich nicht mehr bei ebay einloggen konnte. Die nötigen Einstellungen dazu fand ich nicht ganz simpel...
 
P

pelle

Aktives Mitglied
Version 1.8.2.2

Unterdessen ist bereits wieder eine neue Version erhältlich: 1.8.2.2. Hier ein Auszug aus der Homepage von NoScript:
... most false positive have already been eliminated in 1.8.2.2 ...
 
sergey

sergey

Stammgast
NoScript ist ziemlich einfach zum einstellen.

Wenn man weiss wie. ;)

Auf jeden Fall installieren, und danach auf Seiten denen man vertraut, freigeben.

Gruss

sergey
 
froeschli

froeschli

Stammgast
sergey schrieb:
Auf jeden Fall installieren, und danach auf Seiten denen man vertraut, freigeben.
Zum Vergrößern anklicken....

Ich hatte mit der Vorletzten Version Probleme beim Aufrufen von Fahrplänen auf http://sbb.ch/ weil diese Seite auf http://fahrplan.sbb.ch/ weiterleitet. Bis ich raus gekriegt habe, dass NoScript hier einen Fall von XSS vorliegen sah, gab es schon wieder ein Update. Mit der neuesten Version [EDIT: Version 1.8.2.8] läuft wieder alles wie gewohnt.

Gruss froeschli
 
Zuletzt bearbeitet:
sergey

sergey

Stammgast
Das nachladen von Inhalten anderer Seiten ist ja automatisch blockiert.

Freigeben muss man die dann noch, bei der SBB hatte ich nur zu beginn Probleme. (Bis freigegeben)

Gruss

sergey
 
coceira

coceira

Stammgast
verisign schrieb:
Mit Extended Validation-SSL-Zertifikaten beweisen Unternehmen Besuchern ihrer Website, dass ihre Identität stimmt und der Besuch vertrauenswürdig ist. Dafür installiert sich beim Besuch einer EV-zertifizierten Website automatisch ein Aktualisierungsprogramm, der „VeriSign EV Upgrader“. Er funktioniert bei allen Clients mit Windows Internet Explorer 7 (IE7). EV Upgrader ist eine serverseitige Anwendung, die zugreifende IE7-Systeme auffordert, ihre VeriSign SSL-Zertifikat-Roots zu aktualisieren.

Microsoft hat Internet Explorer speziell darauf ausgelegt, derartige Root-Updates zuzulassen, daher wird das Update unmittelbar und unauffällig durchgeführt. Nach Abschluss der Installation wird die Webadresse im entsprechenden Browserfeld beim Besuch einer Website mit EV-Zertifikat grün unterlegt. Dieses Whitepaper von VeriSign befasst sich mit der Verhaltensweise von EV Upgrader und wie er die Root-Installation in Windows XP-Betriebssystemen initiiert.
Zum Vergrößern anklicken....

......und was haben unsere "freunde" sonst noch eingebaut ?

gehoert imho doch auch in rubrik malware, ich wuesste schon gern wann und warum auf meinem system rumbastelt wird.
 
B

BlackIceDefender

Gesperrt
Gesperrt
EV-SSL erscheint oberflaechlich etwas OT, da es beim clickjacking und drive-by wieder einmal um die script-runtimes geht.

EV (Extended Verification) erscheint als Prozess, wo in diversen Schritten die Authentizitaet des Antragstellers fuer ein Server-seitiges Zertifikat ueberprueft wird. sehr gut. Der Prozess involviert drittparteien zur ueberpruefung der div. informationsquellen und externes auditing.

was verisign (einer von div. anbietern fuer ev-zertifikate) da aber mit dem ev upgrader tut, ist schon ein bisschen in der grauzone.

als beispiel hier ein zitat in ingles:

EV Upgrader operates on a very simple principle. The site containing an EV SSL Certificate from VeriSign adds an invisible JavaScript™ link to one or more of its pages.
This link initiates a connection with a specific Web site that VeriSign has set up explicitly for this purpose. The address of that domain is https://extended-validationssl.verisign.com, and if you access it by typing that address into any Web browser, you'll
simply see explanatory information on EV SSL Certificates.
What you don't see is that this site contains an SSL Certificate that chains up only to the new VeriSign EV root. This fact is exhibited in the behavior of pre-EV browsers, which will warn the user of the presence of an untrusted root should they access the site. When
an IE7 browser connects with this page, it automatically downloads and installs this new root from the Microsoft® Root Store. The browser installs only the root required by the site to which it's connecting and no other roots
...
Certainly it would be possible for sites to install this JavaScript prompt directly onto their own pages. However, VeriSign makes it as easy as possible for online businesses to gain the full benefit of their EV certificates by building the functionality directly into the VeriSign Secured Seal. That means by simply installing the VeriSign Secured Seal on your Web site, you automatically add EV Upgrader and subsequently trigger root installation on all eligible client systems.
Zum Vergrößern anklicken....

das ganze whitepaper ist hier: http://www.verisign.com/static/DEV040123.pdf (habe kein deutsches equivalent gefunden).

das liest sich wie die anleitung zu fortgeschrittener implementierung von malware. es betrifft nur verisign und wie es ausschaut nur IE7. man kann in den eigenschaften des ie verisign als trusted publisher ausschalten. aber dass muesste ich erst mal selber ausprobieren..

Die Universitaet von Stanford betitelt den EV-SLL Prozess als 'Certifiably Useless' : http://www.usablesecurity.org/papers/jackson.pdf

If extended validation becomes widespread, we expect that online criminals will try to mimic its trust indicator, just as they have copied other legitimate financial websites in the past. Like its predecessor, the lock icon, extended validation is vulnerable to picture-in-picture user interface spoofing attacks. We found
these attacks to be as effective as homograph attacks, the best known phishing attack. Designing a user interface that resists both homograph and picture-inpicture attacks should be a high priority for designers of future browsers.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben