Schlagwörter-Archiv: X-Frame

Es gibt Webmaster, die sperren Besucher aus.

Veröffentlicht am von 6 Kommentare ↓

Wie man die Webseite, ohne JavaScript aktiviert zu haben, wieder sichtbar machen kann, zeigt ein weiteres Beispiel aus der Serie -Jugend forscht-. Siehe unten unter „Den Teufel mit Belzebub ausgetrieben“.

Eine ziemlich stümperhafte Lösung
Ich habe bereits mehrfach etwas über Angriffe mittels X-Frame geschrieben. Wenn eine Webseite nicht gegen X-Frame abgesichert ist, kann es zu bösen Überraschungen für den Nutzer einer solchen Webseite kommen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf diese Sicherheitslücke hin. Das BSI hat auch einen Vorschlag mit JavaScript veröffentlicht, wie man solche Angriffe abwehren kann. Dummerweise ist die vom BSI veröffentlichte Lösung völlig unbrauchbar und wird auch noch als: Best-Practice-Ansatz geadelt.

Ohne JavaScript werden Webseiten, die dieses Script einsetzen, NICHT mehr angezeigt.
Interessanterweise weist das BSI auch darauf hin JavaScript“ abzuschalten. Was denn jetzt? 🙁

Einem Anfänger könnte der Fehler passieren und dem Vorschlag vom BSI blind folgen. Wenn es darum geht, eine Webseite sicherzumachen, darf ich keine Anfänger damit beauftragen, die jeden Code ohne nachzudenken einbauen.
Warum wundert mich bei Behörden nichts mehr?

Um das Problem zu beseitigen, gibt es mehrerer Möglichkeiten.
Die dümmste Lösung wäre die folgende. Diese Lösung empfiehlt auch das BSI. 🙁

X-Frame
X-Frame. (Code wurde nachträglich geändert. Siehe weiter unten)

Warum? Ganz einfach. Wenn der Nutzer JavaScrip abgeschaltet hat, sieht der Borwser den HTML-Code wie folgt:
X-Frame
X-Frame

JavaScript wird NICHT ausgeführt. Die Webseite wird NICHT angezeigt.
Also Webmaster. Macht bitte nicht so einen Blödsinn. Es gibt ganz elegante Lösungen um Angriffe mittels X-Frame zu verhindern. Eine Sache von max. fünf Minuten.

Nachtrag. Code wurde erweitert. Siehe auch Kommentare.
Den Teufel mit Belzebub ausgetrieben.

X-Frame
X-Frame

Damit

X-Frame
X-Frame

hat man zwar das Problem mit der Webseitenanzeige abgestellt, aber gleichzeitig den Angriff mit X-Frame bei deaktiviertem JavaScript wieder zugelassen. Das MUSS man doch erkennen. 🙁

Zwei anonyme Kommentare kamen zeitnah nach der durchgeführten Änderung

Siehe auch
Aus gegebenem Anlass. JavaScript

Rödermark intern.
Haushaltszahlen
Zahlen zu den Haushalten ab 2011