Clickjacking ist im Sicherheitskreisen momentan in aller Munde. Beim Clickjacking, angelehnt an den Begriff Hijacking (Entführung), klickt der Internet-Nutzer auf einer Webseite einen Button an, um eine bestimmte -gewollte- Aktion auszuführen. Über dem Button wurde dann aber ein unsichtbarer, zweiter Button angebracht, der durch den Klick des Benutzers angeklickt wird und dazu führt, dass eine andere -vom Nutzer gar nicht beabsichtigte- Aktion ausgeführt wird… der Klick des Nutzers wird also quasi “entführt”.

So wäre beispielsweise vorstellbar, dass man auf einer Seite, der man vertraut, persönliche Daten übermitteln will. Man gibt die Daten in ein Formular ein und muss zum Schluss noch auf den Button “Absenden” klicken. Über diesen Button könnte nun ein findiger Datendieb einen zweiten, unsichtbaren Button gelegt haben. Wenn der Nutzer nun eigentlich “Absenden” anklicken will, klickt er tatsächlich nur den Diebstahl-Button an, der z.B. die Formulardaten dann nicht (nur) an den eigentlichen Webseiten-Betreiber weiterleitet, sondern (auch) an den Datendieb. Doch dagegen gibt es ein wirksames Mittel!

Zwar ist noch kein Fall von Clickjacking bekannt, die Gefahr als solche existiert jedoch. Zumindest Firefox-Nutzer können sich jedoch schon jetzt präventiv dagegen schützen. Das AddOn NoScript blockt ab Version 1.8.2. Clickjacking-Versuche, indem es unsichtbare Elemente auf Webseiten bzw. deren Wirkungsweisen blockiert.

Natürlich verfügt NoScript auch weiterhin über seine ursprünglichen Funktionen, blockt standardmäßig die ungefragte Ausführung von JavaScript (Ausnahmen lassen sich jederzeit leicht einstellen) und geht gegen Cross-Site-Scripting vor.

Ich kann dieses AddOn nur wärmstens empfehlen, da allein die erhöhte Sicherheit im Bereich JavaScript Grund genug für die Nutzung des AddOns wäre; die zusätzlichen Funktionen, wie jetzt der Schutz vor Clickjacking, runden das Angebot erst recht ab.

• Firefox als Online-Festplatte?
• Chinas Zensur-Firewall für jeden
• Kurz-URLs – Fluch und Segen