MyBB.de Forum

Hallo zusammen,

ich bin gerade von einem unserer User auf diesen Bericht von heise.de hingewiesen worden: Clickjacking 2.0 mit Drag&Drop

Ich muss gestehen, dass mir das nicht so sonderlich viel sagt. Allerdings stellt sich mir die Frage, ob MyBB gegen so einen "Angriff" gerüstet ist, wenn mittels eines unsichtbaren iFrames versucht wird, z.B. die Anmeldedaten eines Users aus zu spionieren.

heise.de schrieb:... Verhindern lassen sich solche Attacken, indem der Webserver der vertrauenswürdigen Seite den Header-Zusatz: "X-FRAME-OPTIONS: DENY" an den Browser sendet, um zu verhindern, dass die Seite (unsichtbar) in einem Frame dargestellt wird. ...

Das ist eine gute Frage. Auch wenn ich mich nicht 100%ig festlegen will, meine ich, dass ein solcher Schutz derzeit nicht existiert. Mal abgesehen davon, muss der Frame ja auch erstmal auf die Seite bzw. die Seite in einen Frame (wobei dann doch die URL anders lauten müsste?).

Hi, hier mal ein seeeeeeehr langatmiges Video dazu, aber es erklärt Clickjacking recht gut: http://www.youtube.com/watch?v=4AEXwO5kYKI

Solgange du deine Seiten/Server sicher hältst, kann dir auch nichts passieren. Wenn es jemand schaffen sollte, so ein Script auf der eigene Seite einzuschmuggeln sollte man sich um Clickjacking nicht so sehr nen Kopf machen. Eher warum/wie das derjenige geschafft...

Vielen Dank für Eure Antworten.

Auch wenn sich das Video recht hinzieht, ist es doch ganz interessant und vermittelt recht gut, um was es geht. Danke für den Link, querschlaeger.

Eure Hinweise, dass so ein Script erst einmal den Weg ins Forum auf den Server schaffen muss, verstehe ich jetzt ein wenig besser. Nach dem heise-Bericht dachte ich, das würde auch irgendwie gehen, wenn man von einer fremden Seite kommt.