1. Inicio
  2. Pregunta y respuesta
  3. Implicaciones de seguridad de permitir el encuadre?

Implicaciones de seguridad de permitir el encuadre?

2010-01-23 11 views
7

Observé que cuando intento acceder a Stackoverflow a través de la barra de herramientas de reddit, aparece una ventana emergente que dice "Por razones de seguridad, no se permite el encuadre". Ver here para un ejemplo.Implicaciones de seguridad de permitir el encuadre?

¿Cuáles son exactamente esas razones de seguridad?

Me doy cuenta de que esto podría ser una pregunta para meta, pero en realidad es más una cuestión general de seguridad web, así que le doy una oportunidad aquí.

Gracias.

Fuente

2010-01-23 jedberg

Respuesta

1

Puede marcar the story on that in here.

EDIT:

Ok, así citando el enlaceel problema con la elaboración es que es el primer paso para clickjacking. ¿Cómo se logra eso? Puede tener una página aparentemente inofensiva con enlaces que tienen encima un marco con transparencia completa que se colocó cuidadosamente para que cuando haga clic en los enlaces de la página, haga clic en los enlaces o botones de la página enmarcada. Aunque no puede ver el marco (debido a la transparencia total), sus clics serán capturados por él. Como resultado, mientras el usuario cree que solo está navegando en una página aleatoria, puede estar cambiando su estado de Twitter, enviando correos electrónicos, haciendo algo en Facebook, haciendo clic en el botón "Sí, por favor, done todo". .. la imaginación es el límite.

Fuente

2010-01-23 00:45:17

+1

Ok, acabo de leer eso. No responde la pregunta. De hecho, hace que las cosas sean más confusas: "Si un sitio web malvado decide que va a enmarcar su sitio web, se lo enmarcará. Período. Fracaso en el marco no es más que una falsa sensación de seguridad; no funciona". Si ese es el caso, ¿por qué hacerlo? Además, el objetivo del ataque no es necesariamente el sitio enmarcado, podría ser cualquier sitio. Entonces, de nuevo, ¿por qué molestarse en romper el marco? – jedberg

1

Para proteger a sus usuarios de los ataques de "click jacking". En palabras sencillas, haga clic trabajos de hinca de esta manera:

  • El atacante aloja el archivo HTML malicioso
  • Este archivo se carga la página web 'atacado' en el fondo utilizando un marco y mediante la superposición de elementos en la parte superior de la 'atacado' El sitio web intenta engañar a los usuarios para que hagan clic en algo que no quisieron.

Si un sitio web mal decide que va a enmarcar su sitio web, se le enmarcado. Período

Mal. Los mecanismos como el implementado aquí en stackoverflow protegen a los sitios web de ser cargados dentro de otra página posiblemente maliciosa. De esta forma, el sitio protege a sus usuarios contra ataques de jacks de clics.

f ese es el caso, ¿por qué hacerlo en absoluto? Además, el objetivo del ataque no es necesariamente el sitio enmarcado, podría ser cualquier sitio. Entonces, de nuevo, ¿por qué molestarse en romper el marco?

El marco se utiliza para cargar el sitio web de la víctima dentro de una página que intentará engañar a los usuarios. Reventar el marco significa que el sitio está bloqueando estos posibles ataques de click jacking.O al menos agregando una capa adicional de seguridad ya que estos 'filtros' también pueden pasarse por alto.

Lea el original research paper about click jacking

Fuente

2010-01-28 08:15:38 pcp

Cuestiones relacionadas

 Cuestiones relacionadas