Waarschuwing voor clickjacking!

[asphyxia]

Ongevraagd advies 

Aan de hand van dit draadje: http://forum.ubuntu-nl.org/software-en-configuratie/nos-nl-niet-te-volgen-met-firefox/ ging ik vanmiddag even naar de site van nos.nl, en kreeg ik een clickjacking-alert van Firefox:



Dit is niet de eerste keer, vorige week overkwam mij ditzelfde op de site van de VARA, toen ik een stukje van Nico Dijkshoorn wou bekijken.
Voor degenen die niet weten wat clickjacking is, leest ende huivert: https://en.wikipedia.org/wiki/Clickjacking

Nu vermoed ik, dat onderhavige omroepen hier niets mee te maken hebben, maar lekjes in hun site hebben zitten. Obscure sites mijden is geen optie alleen, als je deze malware wil vermijden.

Advies: gebruik NoScript: https://en.wikipedia.org/wiki/NoScript

[testcees]

Nu vermoed ik, dat onderhavige omroepen hier niets mee te maken hebben, maar lekjes in hun site hebben zitten. Obscure sites mijden is geen optie alleen, als je deze malware wil vermijden.

Bedankt voor de waarschuwing. De nos is ook gewaarschuwd? Als het waar is dat er lekjes in hun site zitten en zelfs malware willen ze daar vast actie op ondernemen.

Aan de andere kant, mede omdat je dit vorige week ook overkwam, kan er sprake zijn van een onterechte melding (lees:waarschuwing) van No-Script?

Dit is niet de eerste keer, vorige week overkwam mij ditzelfde op de site van de VARA, toen ik een stukje van Nico Dijkshoorn wou bekijken.
Voor degenen die niet weten wat clickjacking is, leest ende huivert: https://en.wikipedia.org/wiki/Clickjacking

Jammer, wiki uitleg is Engelstalig en leest niet erg makkelijk. In de waarschuwing op je scherm zie ik een andere site van nos.nl? Waarom zou je blokkeren? Wat is er precies mis mee?

[erik1984]

Bij welke URL kreeg je precies die melding? Als ik naar de URL ga uit jouw adresbalk krijg ik die melding niet van NoScript (wat ik ook al jaren gebruik).

[asphyxia]

Ik kreeg de melding toen ik de stream wou starten, je kreeg eerst een paar seconden reclame, en dan moest je op dat startdriehoekje klikken om de stream te starten, en bingo.
Vanochtend had ik de stream ook gestart vanwege het draadje in de fipo, en toen was er niks aan de hand. Toen was er ook geen reclame-intro *verband begint te zien*

Voorzover ik het begrijp, vindt NoScript een 'hidden element', in HTML kan je blijkbaar meerdere lagen over elkaar leggen waarbij je de ondergelegen lagen niet ziet. Je denkt dus dat je een pop-up wegklikt of een stream start, maar ondertussen heb je bv. eveneens 300 iPads besteld, en volledige toegang tot je pc gegeven (of zoiets, verbeter me maar als ik het verkeerd zeg).

[Vistaus]

@testcees: Jij geeft zelfs ook wel eens Engelstalige linkjes dus zo'n probleem is het toch niet?

Anyway, hier net als bij erik1984 geen meldingen.

[asphyxia]

Anyway, hier net als bij erik1984 geen meldingen.

Dat zou ik ook sterk vinden, want de onderhavige stream is al enige tijd niet meer op de site (men is uitgeschaatst)...

Waarschuwing bedoel ik meer in het algemeen. Ik heb de nos wel een klacht gestuurd hierover.

[Vistaus]

Erg grappig. Ik bedoelde dus toen de stream het nog wel deed kreeg ik geen meldingen...

[erik1984]

Ik kreeg de melding toen ik de stream wou starten, je kreeg eerst een paar seconden reclame, en dan moest je op dat startdriehoekje klikken om de stream te starten, en bingo.
Vanochtend had ik de stream ook gestart vanwege het draadje in de fipo, en toen was er niks aan de hand. Toen was er ook geen reclame-intro *verband begint te zien*

Voorzover ik het begrijp, vindt NoScript een 'hidden element', in HTML kan je blijkbaar meerdere lagen over elkaar leggen waarbij je de ondergelegen lagen niet ziet. Je denkt dus dat je een pop-up wegklikt of een stream start, maar ondertussen heb je bv. eveneens 300 iPads besteld, en volledige toegang tot je pc gegeven (of zoiets, verbeter me maar als ik het verkeerd zeg).

Het kan ook 'gewoon' slecht design zijn Zoals je zegt geeft NoScript de melding wanneer er bijvoorbeeld een iframe met linkjes wordt gebruikt. In dat geval staan de linkjes op een andere pagina dan die je zelf hebt opgevraagd en dat is mogelijk verdacht ja. Nu.nl heeft ook een tijdje de link naar nujij onder een artikel in een iframe aangeboden, dat vond NoScript ook al geen goed plan. Nu.nl is ook weleens echt geïnfecteerd geweest met malware (in de root van de site zelfs, niet een advertentieserver) maar dat is weer een heel ander verhaal.

[testcees]

Jij geeft zelfs ook wel eens Engelstalige linkjes dus zo'n probleem is het toch niet?

Nee, dat is het probleem niet. Probleem is dat ik de Engelse tekst mogelijk niet goed begrijp (en mij daarom thuis voel op dit Nederlandstalige forum) want ik begrijp na het lezen nog steeds niet waarom er een waarschuwing wordt gegeven voor de nos site.

Je denkt dus dat je een pop-up wegklikt of een stream start, maar ondertussen heb je bv. eveneens 300 iPads besteld, en volledige toegang tot je pc gegeven (of zoiets, verbeter me maar als ik het verkeerd zeg).

Je moest klikken om de nos-stream te starten maar daar is niets 'ongewenst' aan (tenzij je geen schaatswedstrijd wilde kijken). Dat is dan toch geen 'clickjacking'?

[asphyxia]

Je moest klikken om de nos-stream te starten maar daar is niets 'ongewenst' aan (tenzij je geen schaatswedstrijd wilde kijken). Dat is dan toch geen 'clickjacking'?

Er wordt gewaarschuwd voor een 'hidden element'. Clickjacking werkt zo (althans, zo begrijp ik het), dat je denkt op iets onschuldigs te klikken, en er een laag onder zit die transparant is in HTML, en ook wordt meegenomen.
Ik kan helaas nog geen nederlandstalige uitleg vinden die net zo uitgebreid en duidelijk is als de engelstalige wiki.

[foxofinfinety]

Noscript heeft ook vrij vaak valse positieven met clickjacking echter, volgens noscript zou het een tijdje geleden ook op mijn site zitten.
is knap, want de code die geladen werd was exact wat ik ook gemaakt had, en daar zaten geen verborgen elementen in.
(is ondertussen weg, de site is overigens niet aangepast tussen die fout en nu (ja, nieuwe entries maar..))

in geval van NOS heb je vaak zo'n 'placeholder' plaatje, die verbergt de eigenlijke video speler = verborgen element = clickjack melding.
het is wel goed om er een beveiliging tegen te hebben, maar het is niet altijd iets wat slecht gebruikt word, soms is het juist om iets er mooier uit te laten zien of zelfs om dingen makkelijker te maken.

voorbeeld van om het makkelijker te maken:
ik heb op een site namelijk wel een contact formulier waar een element verborgen is, is een invoer velt met label "age", positie: negatief 1000 pixels in de linker bovenhoek, die zie je niet, en kan je niet invoeren, en dat mag ook niet, want doe je dat wel weigert hij het bericht te versturen, een spam bot ziet echter niet waar hij staat en vult netjes een leeftijd in, en word dus geweigerd.
makkelijker hieraan is dat de gebruiker niks hoeft te doen, en ik ook geen Capatcha hoef invoegen, en toch geen spam krijg.