Clickjacking

Vandaag kregen wij een opmerking binnen van Manikandan Rajakumar. Hij had in het kader van ons security bounty programma gemerkt dat onze website gevoelig is voor clickjacking. Met clickjacking is het mogelijk om gevoelige informatie te ontfutselen of onbedoeld op ongewenste zaken te klikken.

Hoe werkt het?

Wanneer een hacker bijvoorbeeld een website op een domeinnaam heeft wat erg veel op uw domeinnaam lijkt dan kan deze via bijv. een iframe uw website embedden. Vervolgens legt hij een onzichtbare laag over uw website waarmee hij al uw links en knoppen kan vervangen door zijn eigen links zonder dat uw bezoeker dit door heeft. Zo plaatst de hacker bijvoorbeeld een ‘Vind ik leuk’ button van Facebook om likes te verzamelen en daarmee hoger in de zoekresultaten te komen.

Niet voor iedereen een nachtmerrie

Gelukkig zijn niet alle gegevens en dus niet alle websites interessant voor hackers. Daarom achten wij het risico voor veel domeineigenaren redelijk laag om hier slachtoffer van te worden. Natuurlijk, dergelijke hackers zijn de nachtmerrie van veel bedrijven. Je wilt immers voorkomen dat de gegevens van je klanten op straat liggen. Dat het geen serverprobleem is, biedt bedrijven geen troost.

Oplossing

Gelukkig kan dit probleem worden verholpen. Dat kan met een mechanisme dat browserproducenten ontwikkelden. Dit werkt als volgt. De webserver geeft een speciale code (header: X-FRAME-OPTIONS) mee in elke webserver response. De browser controleert of deze speciale code aanwezig is. Als dat het geval is, dan laadt de browser de pagina niet.

Oplossing Linqhost

Om dit mechanisme aan te activeren, hoeft u niets te doen. Wij zullen de komende twee dagen een update uitrollen zodat onze webservers altijd de X-Frame-Options SAMEORIGIN zal meegeven. Uw website is dan niet meer vatbaar om gegevens te stelen van u, uw klanten of bezoekers! Door de SAMEORIGIN parameter op te geven mag u wel vanaf uw eigen website een pagina via een iframe inladen.

Clickjacking beveiliging linqhost.nl

Meer informatie (engels!) is te vinden op http://en.wikipedia.org/wiki/Clickjack