14 komentářů k článku Clickjacking: nebezpečí číhající na uživatele webových aplikací:

  1. Hoween

    Nic nového
    Hmm, takže v podstatě klasické XSRF. Jen tomu dal "kchůl" jméno, zřejmě aby byl dostatečně "in" až o tom bude mluvit.

      1. Georgo10

        Re: Nic nového
        Koláčky proč ne, ale pak je dobré ověřit nějakou akci (smazání, přidání, …) pomocí nějakého tokenu:-)

      2. Sten

        Re: Nic nového
        Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

      3. Sten

        Re: Nic nového
        Koláčky jsou v pohodě, spíš by to chtělo přesměrovat na stránku (nejlépe do _top), která se zeptá: Opravdu smazat?

    1. Martin HassmanAutor příspěvku

      Re: Nic nového

      Nejedná se o totéž. Klasická ochrana proti XSRF je na clickjacking krátká, protože v tomhle případě skutečně uživatel klikne na tlačítko správného formuláře na té správné doméně.

      U XSRF obvykle odesíláme formulář z naší domény, před čímž se lze u aplikace bránit např. přidáním skrytého formulářového pole s dostatečně dlouhým neohadnutelným hashem. Ovšem u Clickjackingu tohle nepomůže, tam odejte k odeslání formuláře, který toto skryté pole obsahuje, protože to, co bylo „ukradeno“ je skutečně jen ono kliknutí uživatele (proto click-jacking).

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=73