1. Accueil
  2. Question et réponse
  3. Comment implémenter un buster de trame?

Comment implémenter un buster de trame?

2010-02-19 11 views
2

Je suis à la recherche d'un guide qui décrit comment mettre en œuvre un buster de cadre de travail qui traite également des personnes qui n'ont pas JS activé dans leur navigateur.Comment implémenter un buster de trame?

J'ai lu this very good question mais je ne suis absolument pas intéressé par des conseils comme "ne faites pas vous-même" ou "peut-être essayer ...". Je veux voir un papier, avec un guide pas à pas expliquant chaque "pourquoi" (sans peut-être et sans deviner). Papiers académiques préférés.

Quelqu'un peut-il afficher le lien vers le papier saint-graal de facto de faire cela?

grâce,

Source

2010-02-19 ManBugra

+1

Ce serait un document académique très étrange. Cela dit, comme l'affirme Michael, c'est juste maintenant que le Web fonctionne. Un cadre est juste une fenêtre qui demande un URI à afficher. Sans javascript, il n'y a vraiment aucun moyen pour que cette 'page' ait une idée, que ce soit dans un cadre ou non. –

+0

Je pense que vous demandez trop. – metrobalderas

+0

si cela n'existe pas ou n'est pas possible de mettre en œuvre (même pas avec, peut-être flash) que "impossible" serait la bonne réponse à cette question (compte de vote-up me montrera). – ManBugra

Répondre

6

Pour être honnête, je pense que ce que vous décrivez est impossible. Corrigez-moi si je me trompe, mais cela semble être une violation de la même politique d'origine. Ceci est le papier « de facto Holdy-Graal » de ce que les navigateurs sont autorisés à faire: http://code.google.com/p/browsersec/wiki/Main Assurez-vous de lire la section 2.

* EDIT: Clickjacking est une attaque qui contourne les aspects de la même origine stratégie dans les navigateurs Web non patchés. Essayer d'empêcher toutes les attaques qui peuvent provenir de navigateurs non corrigés est une entreprise massive étant donné que cette personne est probablement déjà piratée et séparée d'un BotNet. Si vous êtes vraiment préoccupé par les navigateurs Web vulnérables, je recommande de bloquer IE6 et ci-dessous.

Source

2010-02-19 17:52:46 rook

2

Sur IE8 vous avez http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx (Donc un site ou une page qui ne voulait pas être iframe définirait l'en-tête de réponse X-FRAME-OPTIONS: DENY). J'ai également testé cela avec Firefox 3.5.x à un moment donné et cela a fonctionné.

Sinon, la page liée (http://coderrr.wordpress.com/2009/02/13/preventing-frame-busting-and-click-jacking-ui-redressing/) décrit assez précisément la question et combien de sites importants traitent aujourd'hui pour un sous-ensemble de leurs pages depuis un grand nombre d'utilisateurs sont encore sur IE6, etc.

Source

2010-02-19 19:20:24 mar

+0

Cette vulnérabilité affecte les navigateurs Web et c'est là où le correctif doit être. Essayer d'arrêter toutes les vulnérabilités qui affectent IE6 est une entreprise massive, surtout parce que cette personne est probablement un membre d'un botnet de toute façon. Si vous êtes vraiment préoccupé de bloquer les utilisateurs IE6, la plupart des sites principaux abandonnent le support pour eux de toute façon. – rook

+0

Ne sera pas en désaccord sur les utilisateurs IE6. Pour certains sites sur ce problème spécifique: 1) Le site peut décider que les utilisateurs doivent avoir activé js et donc une solution qui fonctionne sur tous les navigateurs * avant que l'option * IE8 ne convienne. 2) Le détournement de clics est ancien et n'a pas connu de montée en flèche massive car les attaquants continuent d'utiliser le phishing, XSS et les logiciels malveillants restent plus sérieux. 3) est opt-in par page. Si vous avez le contrôle sur le serveur web, vous pouvez l'ajouter par défaut à l'en-tête de réponse (est compat). Souhaiterait mieux soln des navigateurs. 4) Non 1E-8, Firefox 3.0+ forme grand%/non. et les entreprises ne veulent pas renoncer aux revenus de ces utilisateurs. – mar

+0

Ajout à la préc. commentaire. Si non soumis aux contraintes listées dans mon précédent commentaire, utilisez ces options (en réponse) et ne supportez pas IE6. Je ne pense pas que IE7 ou Safari supportent ces options non plus. – mar

Questions connexes

 Questions connexes