Nagłówek X-FRAME-OPTIONS pojawił się w IE8 (IE8 Security Part VII: ClickJacking Defenses) w odpowiedzi na tak zwany clickjacking. Wykorzystanie tego nagłówka jest wciąż niewielkie: Adoption of X-FRAME-OPTIONS header co, przy potencjale jaki w sobie kryje clickjacking, może wydawać się dziwne. Z drugiej strony warto się zastanowić nad scenariuszami wykorzystania clickjacking, samo istnienie podatności to nie wszystko, konieczne jest jeszcze skonstruowanie skutecznego ataku. Tam, gdzie taki atak jest możliwy (i jego scenariusz nie przypomina wirusa albańskiego), nagłówek X-FRAME-OPTIONS warto stosować. W innych przypadkach też, zgodnie z zasadą defence-in-depth, choć... No właśnie, samo ustawienie nagłówka nie wystarczy, musi go jeszcze zrozumieć przeglądarka klienta, a z tym bywa już różnie. Każdy może sprawdzić to na prostym przykładzie: http://bootcamp.threats.pl/lesson15/. Przy okazji warto wspomnieć o Content Security Policy i frame-ancestors, choć to już nieco inna bajka.
Tuesday, October 20. 2009
Ślady
Prosty przykład clickjacking
Prawie rok temu opisywałem działanie nagłówka X-FRAME-OPTIONS. Przygotowałem też prosty przykład, na którym każdy mógł sprawdzić jak jego przeglądarka obsługuje ten nagłówek. Dziś na krótko wrócę do tego tematu, a to z uwagi na wpis X-Frame-Options: zaczn
Prawie rok temu opisywałem działanie nagłówka X-FRAME-OPTIONS. Przygotowałem też prosty przykład, na którym każdy mógł sprawdzić jak jego przeglądarka obsługuje ten nagłówek. Dziś na krótko wrócę do tego tematu, a to z uwagi na wpis X-Frame-Options: zaczn
Weblog: Wampiryczny blog
Przesłany: Aug 31, 21:36
Przesłany: Aug 31, 21:36
Koncepcja CSP jest całkiem interesująca, ale zobaczymy za jakiś czas jak będzie wyglądało jej wdrożenie...
Co do CSP to w 100% się zgadzam, że trzeba poczekać jak to przyjmie rynek. Z drugiej strony dla prostych stron dodanie jednego nagłówka nic nie kosztuje.