Clickjacking Angriff

  • Hi, da ich kein Facebook Nutzer bin, und aufgrund der beliebtheit dieses Plugin eingebaut habe, bin ich hier erschrocken über eine Sicherheitswarnung die ich bekomme.


    Ich denke mal nicht das dies ein Virus oder so was ist. Doch NoScript von meinem Firefox gibt mir eine gefährliche Warnung raus wenn ich auf den Like Button klicke. Ehrlich gesagt hatte ich noch nie eine derartige Meldung und ich nutze FF und Noscript seit den ersten Versionen. Hier mal ein Screen was passiert, wenn ich mal auf den Like Button klicke zum Test:



    Kann mir jemand sagen was das bedeutet und wie ich weiter verfahren soll ? Was mich wundert ist ja, man kann sich streiten ob man Facebook mag oder nicht, aber FF und NoScipt geben doch nicht zum Spaß so eine Warnmeldung heraus ?


    Was mir auch auffällt, seit der Likebutton eingebaut ist, sind permanent Facebook Bots in meinem Forum unterwegs und immer in den Foren wo ich grad bin. Egal ob interne oder nicht. Das ist schon wie stalking und ich finde das nicht mehr witzig ehrlich gesagt.


    Kann mich bitte diesbezüglich jemand aufklären ? Im Moment spiele ich mit dem Gedanken das ding wieder zu deinstallieren. Auf der anderen Seite ist das www ohne Facebook und co gar nicht zu denken. Eine andere Forensoftware hat das Facebook like sogar direkt integriert. Also ich verstehe nur noch Bahnhof.

    • Teambeitrag

    Da kann ich dir leider auch nicht so richtig weiterhelfen, der Code den ich eingebaut habe, kommt ja direkt von Facebook. Bekommst du die Meldung auf auch auf anderen Seiten die einen Likebutton haben?


    Hier zum Beispiel:


    http://www.focus.de/politik/de…termachen_aid_531613.html


    oder hier:


    http://www.vbulletin-germany.c…st...?p=312774#post312774


    Das mit den Bots hat mich jetzt auch überrascht, ich wusste gar nicht das es die gibt, dass die da rumgeistern liegt an der Art der Einbindung des Buttons, der lädt nämlich bei jedem Aufruf direkt Daten von Facebook.


    Mittlerweile haben ja beide anderen grossen Forensysteme, vB und IPB den Button in der Standardversion dabei. Und ich habe mal eben nachgesehen, auch die haben das dort genau so eingebunden.


    Ich würde mir da keien weiteren Sorgen machen, die Bots können ja nur das lesen das auch die Gäste sehen.



    Edit:


    Ok, habs selber mal getestet, NoScript zeigt die Warnung bei sämtlichen Likebuttons an.

    Deine Anfrage wurde nicht beantwortet? Dann bitte einfach noch mal kurz im Thema nachfragen.


    Mein Blog: TwentyMag <- Lesen, Teilen, Liken, Kommentieren, Abonnieren. Ihr wisst bescheid, was labere ich hier groß rum :eyes:

  • Hmm, also wenn ich auf den Likebutton bei vbulletin klicke, kommt die Warnung nicht. Da kommt das Login Fenster für Facebook. Gehe ich dann wieder in mein Forum oder auch hier bei dir, kommt die Warnung. Bei Focus kommt auch keine Warnmeldung.


    Da scheint wohl doch ein kleiner codeschnipsel in deinem Plugin zu sein der da etwas anders macht.


    Aber wie du sagst, so gut wie jede Seite hat diese Facebook, Tweeter Klamotten drin. Also auch mal ein Lob an Dich das Du dir die Mühe gemacht hast überhaupt so was fürs wbb zu programmieren :thumbsup:


    Jetzt ist nur die Frage, was an dem Code Plugin diese Clickjacking Warnung hervorruft. Also in einer Session klicke ich vbulletin, keine warnung, Focus, keine Warnung, mein Forum, Warnung, Dein Forum, Warnung. Komisch.


    EDIT:
    Noch eine andere Frage. Das Wort Plugin in meinen texten wird irgendwie automatisiert und wenn ich mit der Maus drüber gehe, kommt da eine Beschreiben was dieses Wort bedeutet. Was ist das den für ein nettes Plug in ?


    Und wo ich gerade so neugierig bin. Was ist das für eine Startseite die du nutzt ? Wo Ankündigungen, Aktuelle Diskussionen aus dem Forum usw. angezeigt werden und man eigene Texte schreiben kann ?( Und so eine nette Willkommen Box ?


    Ich finde deine Website unheimlich schön und sauber Aufgeteilt. Hier findet man sich besser zurecht als Neuling als ich in unserem 5 Jahre alten Forum. :P

    • Teambeitrag

    Ich kann das leider nicht bestätigen, ich bekomme mit NoScript bei allen Links die einen Likebutton haben, auch beim vB und bei Focus eine Warnung. Ich habe ca. 10 Seiten mit Likebutton getestet, bei allen wird eine Warnung angezeigt. Das verwirrt mich jetzt irgendwie :|


    Das Plugin ist das Lexikon von http://www.wbb-security.de und kostet 25 EUR glaube ich.


    Unsere Startseite haben wir selber erstellt und liegt nicht als Plugin vor.


    Danke für das Lob :)

  • Ok Du hast recht. Habe s jetzt auch noch einmal getestet und bekomme jetzt auch überall Warnmeldungen. Und mich verwirrt es ja auch. Das es nicht an Deinem Plugin liegt war mir schon klar, was mich nur so sehr verwirrt ist, Facebook ist doch wie Google eine bekannte Marke. Das Datenschutz gebabbel ist ja nur in Deutschland - Europa ein Thema. Die Amerikaner sehen das da gelassener und jedem bleibt selbst überlassen was er tut oder nicht. Und das dann gerade Firefox - der beste Browser gerade bei dem bekannten Facebook Like Button eine Warnmeldung ausgibt ist echt verrückt. Vielleicht muss man sich an den noscript coder wenden ?


    Ich habe gerade etwas recherchiert. Oha, das klingt übel:


    Sollte man das Plugin lieber vorerst deinstallieren ?

    • Teambeitrag

    Das ist nicht leicht zu verstehen, aber mit dem Plugin selber hat das Problem dass hier geschildert ist, erst einmal nichts zu tun. Ich habe es auch erst beim dritten mal lesen kapiert.


    In diesem Fall hat irgend Jemand eine normale Website gebaut. Auf dieser Seite hat er dann einen unsichtbaren Likeit-Button eingebaut und auf ein normales Bedienelement wie zum Beispiel "Zur nächsten Seite" gelegt.


    Die Leute haben also geglaubt auf die nächste Seite zu gelangen, in Wirklichkeit haben sie jedoch den Likebutton angeklickt und so den Link der Seite über ihre FB-Seite verbreitet.


    Wenn du das Plugin in deinem eigenen Forum installiert hast, dann passiert da nichts da du ja keine manipulierten Daten verwendest sondern den Originalcode von FB.


    NoScrip schützt dich im Prinzip vor fremden Seiten, aber deine eigenen Seiten sind ja so gesehen sicher.


    Die Meldung kommt wohl einfach aufgrund des Aufbaus, wenn ich das richtig sehe, wird im Code ein Teil versteckt und erst eigeblendet wenn der Link angeklickt wird. Das kann natürlich zu fiesen Zwecken verwendet werden, aber bei FB besteht ja so weit keine Gefahr.


    Du brauchst das Plugin also nicht deinstallieren da hier diese Problematik mit dem Clickjacking nicht gegeben ist.

  • Ja aber kann man den code nicht etwas abändern das dieser versteckte Code erst gar nicht zu einer Warnmeldung führt ? Bisher hat sich in unserem Forum niemand beschwert.


    Aber dieses Stalking von dem Bot regt mich irgendwie von Tag zu Tag mehr auf. Vor allem was will das Vieh eigentlich? Das ist doch keine Suchmaschine wie Google. Und selbst Google verfolgt einen nicht auf Schritt und tritt im Forum :cursing:


    Also unabhängig von der Warnmeldung bei dem Button rege ich mich tatsächlich mehr und mehr über diesen Bot auf :cursing:

  • ich habe auch das Plugin installiert und sehe jetzt in rt das es da ein update gibt.. jetzt die frage wenn ich updaten will bekomme ich fehler,falscher benutzername... wo bekommt man jetzt die neusten updates für dieses plugin???

  • aso sorry falsches thema ich habe das Social Bookmarks Version 1.0.5 Plugin und jetzt steht bei mir im ACP das es eine neue Version gibt (1.0.5 pl 2)nur wo kann ich die downloaden?? und bitte Thema ins richtige Forum verschieben ,Danke...