PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


Archive for the ‘ClickJacking’ tag

iframe Bug in Firefox 23

with 17 comments

Firefox 23Ich weiß nicht ob ich mich freuen soll oder nicht: Ich habe heute, mehr oder minder durch Zufall bei der Endprüfung eines neues Features bei mail.de einen Bug im neuen Firefox 23 entdeckt. Version 22 funktionierte wunderbar, auch Chrome macht keine Probleme, nur der neue 23er Firefox stellt das iframe nicht korrekt dar. Hier die Beispiel-URL, wenn ihr die mit dem Firefox 23 anschaut werdet ihr wahrscheinlich den Inhalt des iframes außerhalb sehen, und beim Scrollen des iFrames treten unschöne Effekte auf:

https://www.phpgangsta.de/download/ff23iframe.html <— Workaround des Shopbetreibers eingebaut, deshalb „gefixt“

https://bug902546.bugzilla.mozilla.org/attachment.cgi?id=787110

Es sieht nicht so aus als sei damit Clickjacking möglich da es „nur“ ein Anzeigeproblem (Clipping) zu sein scheint, aber wer weiß. Das Problem tritt sowohl bei der Windows-Version als auch bei der Mac OS X Version auf. Kurz im #firefox-IRC-Channel nachgefragt konnten andere es auch direkt nachvollziehen und ein Issue im Bugtracker von Mozilla wurde erstellt:

https://bugzilla.mozilla.org/show_bug.cgi?id=902546

Hoffentlich wird das bald behoben, wenn ihr Lust und Zeit habt voted bitte für den Bug. Morgen werden wir mal schauen ob es einen funktionierenden Workaround gibt.

Edit: weiteren Link hinzugefügt mit einem defekten iframe. Das Problem scheint die „backface-visibility“ zu sein, dadurch funktioniert das Clipping des iframes nicht mehr richtig.

Written by Michael Kliewe

August 8th, 2013 at 12:57 am

X-Frame-Options Header gegen ClickJacking

with 12 comments

ClickJacking hatte ich in einem älteren Beitrag bereits erwähnt, und es gibt bereits seit langem Gegenmaßnahmen. Der IE8 hat damals ein neues Feature eingeführt, welches mittlerweile von den anderen Browsern auch umgesetzt wurde, und dieses Feature stelle ich hier vor.

Wir als Webseitenbetreiber können damit unterbinden, dass unsere Seite in einem Frame (IFrame eingeschlossen) dargestellt werden. Dazu überprüft der Browser, ob auf der eingebundenen Seite der HTTP-Header X-Frame-Options existiert. Für diesen Header gibt es zwei mögliche Werte:

Weiterlesen »

Written by Michael Kliewe

Juni 18th, 2010 at 10:43 am