Clickjacking-Schutz in IE8 bringt wenig

Das frisch eingebaute Security-Feature im IE8 RC1, das vor Attacken schützen soll, bei denen Hacker eine Webseite übernehmen und die Clicks und Eingaben der Surfer ausspionieren (Computerworld.ch berichtete), werde das Problem nicht aus der Welt schaffen, meint etwa Robert Hansen, Chef der IT-Security-Beraterin SecTheory. Der Grund: Die Betreiber einer Site müssen ihre Webseiten mit einem bestimmten Tag versehen. Erst dann funktioniert der Cyberjacking-Schutz von IE8.

In den meisten Fällen würden sich so die Benutzer in einer falschen Sicherheit wiegen, meint Hansen. "Selbst wenn jeder HTML-Programmierer und jeder Webseiten-Betreiber sich dazu entschliessen sollte, die Tags künftig einzubauen und seine Web-Site für IE8-Benutzer vor Clickjacking-Angriffen abzusichern: Es dürfte Jahre dauern, bis dieser Schutz verbreitet genug ist, damit der ganze Effort Früchte trägt", ist Hansen überzeugt. Schlimmer noch: Für den User sei es nicht überprüfbar, ob eine Webseite die Schutz-Tags eingebaut hat oder nicht.