HTML5 aus Hackersicht
Kommentare

iframe: Sandkasten gegen JavaScript
HTML5 führt auch neue Schutzmaßnahmen ein: Mit dem sandbox-Attribut für iframes kann u. a. das Ausführen von aktiven Inhalten, wie z. B. JavaScript-Code oder die

iframe: Sandkasten gegen JavaScript

HTML5 führt auch neue Schutzmaßnahmen ein: Mit dem sandbox-Attribut für iframes kann u. a. das Ausführen von aktiven Inhalten, wie z. B. JavaScript-Code oder die Top-Level-Navigation ausgeschaltet werden. Details dazu erfahren Sie in der nächsten Folge, denn hier geht es ja um die Angreifersicht. Aber auch für einen Angreifer ist das sandbox-Attribut nützlich:

Zur Abwehr von Clickjacking-Angriffen wird im Allgemeinen ein Framebuster eingesetzt [15]. Dieser Schutz kann aber durch das sandbox-Attribut des für den Angriff verwendeten iframes ausgehebelt werden. Die einzige bekannte Schutzmaßnahme gegen Clickjacking-Angriffe ist damit der X-FRAME-OPTIONS Header [11].

Schöne neue Funktionen, schöne neue Möglichkeiten

Die beschriebenen Beispiele sind nur eine Auswahl möglicher neuer Angriffe. Fast alles, was sich positiv nutzen lässt, lässt sich auch für bösartige Zwecke missbrauchen. Das gilt eigentlich immer und überall, also auch für HTML5. Ein weiteres Beispiel: Wenn HTML5 den Zugriff auf die Webcam ermöglicht, um Videokonferenzen zu realisieren, könnte ein Angreifer darüber den Benutzer beobachten. Für jede neue Funktion wird sich mit ziemlicher Sicherheit eine Missbrauchsmöglichkeit finden lassen. Wie Sie zumindest einen Teil der Angriffe abwehren können, erfahren Sie in der nächsten Folge.

Dipl.-Inform. Carsten Eilers ist als freier Berater und Coach für IT-Sicherheit und technischen Datenschutz tätig und als Autor verschiedener Artikel und des Buchs „Ajax Security“ bekannt. Zu erreichen ist er unter ceilers-it.de, sein Blog finden Sie unter ceilers-news.de.

Links und Literatur-Hinweise erhalten Sie unter diesem Link.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -