10:18
31/8/2010

X-Frame-Options: zacznij stosować

Autor: Piotr Konieczny | Tagi:  

W czerwcu opisaliśmy kilka sposobów na ochronę serwisów internetowych przed atakimi typu clickjacking (por. clickjacking i framebusting). Dziś dowiedzieliśmy się, że najnowszy Firefox będzie wspierał rozwiązanie X-Frame-Options — warto sobie przypomnieć co to takiego, i zacząć z tego korzystać.

X-Frame-Options

X-Frame-Options to nagłówek HTTP, dodawany przez Webserwer przy odpowiedzi na żądanie przeglądarki. Przyjmuje dwie wartości:

  • SAMEORIGIN – tylko strony z tej samej domeny mogą “zramkować” ten URL
  • DENY – żadna strona nie może wrzucić w ramkę tego URL-a

Dzięki zastosowaniu powyższego nagłówka, unikamy zagnieżdżania naszej strony w ramkach, czyli ataków typu:

<html>
reklamy, phishing, clickjacking, itp
<iframe src="http://yoursite.com"></iframe>
</html>

Clicjacking na Twitterze

Oczywiście, żeby nagłówek X-Frame-Options “działał”, potrzebna jest przeglądarka, która go rozumie. Obecnie, są to:

  • Opera 10.50
  • Firefox z dodatkiem NoScript
  • IE 8+
  • Safari 4

a od wersji 3.6.9 Firefox będzie wspierał X-Frame-Options natywnie.

Minusy X-Frame-Options

Warto wspomnieć, że nie zawsze użycie X-Frame-Options jest czymś, czego będziesz chciał. Przypomnijmy minusy, które wymieniliśmy w tekście o framebustingu:

  • Trudności w implementacji
    Masz duży serwis i chcesz dostosować wartości X-Frame-Options dla każdej z podstron z osobna. Pułapka: jeśli np. ustawisz X-Frame-Options także dla plików graficznych, to Google Images ich nie pokaże.

  • Masz kilka domen
    I niektórym chciałbyś pozwolić na “ramkowanie”, a innym nie. Niestety SAMEORGIN bierze pod uwagę tylko domenę “macierzystą”.
  • Serwery PROXY
    Nagłówek X-Frame-Options może nie dolecieć do użytkownika, serwery proxy często usuwają nagłówki HTTP…

Jeśli pierwsze dwa “problemy” Cię nie dotyczą, zdecydowanie zainteresuj się przekonfigurowaniem swojego webserwera tak, aby wysyłał nagłówek X-Frame-Options przynajmniej dla stron, na których dajesz użytkownikowi możliwość wprowadzania/modyfikowania danych.

Przeczytaj także:

Niebezpiecznik

19 komentarzy

Dodaj komentarz
  1. Kamil 2010.08.31 10:37 | # | Reply

    Też jakiś czas temu opisywałem wykorzystanie nagłówka X-Frame-Options:
    http://blog.kamilbrenk.pl/bezpieczne-naglowki-http/
    może kogoś to zainteresuje :-)

  2. RafalB 2010.08.31 10:40 | # | Reply

    Wiecie co mnie w tym wszystkim cieszy, ze czytaja was admini i od razu przejmuja sie rola, mam nadzieje ze tak to bedzie wygladalo i tutaj. Opiniotworczosc fajna jest, byle prawdziwa

  3. Paweł Goleń 2010.08.31 10:44 | # | Reply

    A jak przeglądarka, z której korzystamy, zachowa się w połączeniu z nagłówkiem X-Frame-Options można sprawdzić na szybko w moim starym przykładzie poda adresem: http://bootcamp.threats.pl/lesson15/ Tam są dwie “ramki” zwracane z X-Frame-Options SAMEORGIN oraz DENY.

  4. joo 2010.08.31 11:18 | # | Reply

    jest 3.8.9 – powinno byc 3.6.9

  5. Bartek 2010.08.31 11:41 | # | Reply

    MSIE 8.0 pokazuje wewnątrz zablokowanej ramki pseudo-stronę:

    “Ta zawartość nie może zostać wyświetlona w ramce
    […]
    Otwórz tę zawartość w nowym oknie [to jest link]”

    No i cała ochrona przed clickjackingiem poszła w las… ktoś na to klika i łapie się na “wyższą” warstwę… tyle tylko, że klikanie może być w innym punkcie ekranu, niż gdyby zawartość ramki się wyświetliła…

  6. Rafał 2010.08.31 11:51 | # | Reply

    Zdaje się, że Chrome/Chromium też to obsługuje, a przynajmniej na stronie podanej przez Pawła widzę co innego pod Chrome i co innego pod IE 6.

  7. dotnokato 2010.08.31 12:02 | # | Reply

    “W czerwcu opisaliśmy kilka sposobów na ochronę serwisów internetowych przed atakimi typu calickjacking…”
    Hmm… z tego, co pamiętam, to raczej jest clickjacking, bo łapie się click’i, a nie calick’i ;-)

  8. dzek 2010.08.31 12:13 | # | Reply

    @Bartek:
    Przecież tu właśnie o to chodzi.. Żeby nie kliknąć w nic na docelowej stronie, która się nie otworzyła, tylko pojawił się komunikat..

  9. Bartek 2010.08.31 12:20 | # | Reply

    @dzek
    Tak, ale problem tkwi w tym linku wewnątrz takiego iframe’a – nie kliknę w nic na docelowej stronie (bo się nie otworzyła), ale mogę kliknąć na linku otwierającym tą stronę w nowym oknie, który się pokazuje… tylko jeśli to jest iframe z wierzchnią warstwą kradnącą kliknięcia, to właśnie to kliknięcie w link zostanie skradzione – zanim otworzę docelową stronę :)

  10. Paweł Goleń 2010.08.31 13:10 | # | Reply

    @Bartek: ten link mogę Ci podstawić na kilka innych sposobów, bez użycia iframe. Choćby przez img src.

  11. Bartek 2010.08.31 15:31 | # | Reply

    No właśnie. Twierdze tylko, że stosowanie X-Frame-Options (przynajmniej w przypoadku MSIE 8) w żaden sposób nie zabezpiecza nas przez clickjackingiem w ramce. Autor postu napisał:

    “Dzięki zastosowaniu powyższego nagłówka, unikamy zagnieżdżania naszej strony w ramkach, czyli ataków typu:”

    Unikamy zagnieżdżania naszej strony w ramkach, ale nie unikniemy pokazanego ataku – jedyne co, to użytkownik zobaczy komunikat o osadzeniu strony w ramce, ale jak kliknie w link w komunikacie, złapie się na wyżsżą warstwę, jeśli jest (kommunikat w MSIE ogranicza się do pseudo-strony wyświetlanej wewnątrz iframe’a).

  12. Paweł Goleń 2010.08.31 18:38 | # | Reply

    @Bartek: ale to o czym piszesz, to nie jest clickjacking. W najlepszym przypadku CSRF, ale w bardzo “dziwnej” wersji.

    Chyba w wolnej chwili jakiś prosty przykład clickjackingu zrobię.

  13. Prosty przykład clickjacking 2010.08.31 21:36 | # | Reply

    […] obsługuje ten nagłówek. Dziś na krótko wrócę do tego tematu, a to z uwagi na wpis X-Frame-Options: zacznij stosować oraz komentarz(e) Bartka. Mam wrażenie, że clickjacking oraz CSRF trochę się ze sobą […]

  14. ukash 2010.09.01 16:13 | # | Reply

    @Bartek: No właśnie, użytkownik złapie się na wyższą warstwę, którą już nie będzie nasza strona, tylko info, że zagnieżdżenie zostało zablokowane. Obrazowo: spójrz na obrazek wyżej (w artykule) – Twitter zostaje zastąpiony stroną z informacją, że strona nie może zostać osadzona w ramce. Natomiast ta druga strona (widoczna) z napisem “Play!” pozostaje nienaruszona. Tym razem kliknięcie na “Play” nie pozwoli atakującemu uzyskać zamierzonego efektu. Tak więc udało się zapobiec “clickjackingowi” :)

  15. Bartek 2010.09.02 16:08 | # | Reply

    @Paweł: powiem krótko i z pokorą – dzięki za pouczający przykład :)

  16. » Ciekawy atak na webaplikacje — “wykradanie” treści z ramek -- Niebezpiecznik.pl -- 2013.09.23 13:49 | # | Reply

    […] innej domeny (o ile domena ta pozwala na “ramkowanie”, czyli nie ma ustawionego nagłówka X-Frame-Options zabezpieczającego przed […]

  17. p0int3r 2013.10.11 23:26 | # | Reply

    KIS:
    if(top!=self) {
    top.location.replace(location.href);
    }

  18. » Korzystasz z internetu mobilnego? Uważaj na “WAP Billing” — zwykłe kliknięcie w link na stronie WWW może nabić Ci wysoki rachunek -- Niebezpiecznik.pl -- 2015.03.12 20:12 | # | Reply

    […] Przeglądamy internet, i trafimy na stronę, która nakłoni nas do kliknięcia w jakiś link zarówno świadomie (fałszywie opisując link jako coś, co faktycznie nas interesuje i co chcemy zobaczyć), jak i nieświadomie, np. korzytając z ataku Click-Jackingu […]

  19. » * Primaaprilisowy żart Google wprowadził dziurę w zabezpieczeniach -- Niebezpiecznik.pl -- 2015.04.18 20:29 | # | Reply

    […] na osoby zalogowane do konta Google. Primaaprilisowa strona wymagała bowiem usunięcia nagłówka X-Frame-Options z oryginalnej strony Gogole, aby można było ją zaprezentować pod domeną […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: