A causa delle misure di sicurezza imposte da TrueLayer per proteggere i dati degli utenti, gli iFrame non sono supportati nell'Auth Dialog. In particolare, intendiamo prevenire attacchi clickjacking.
Solution
What to do next?
- Implementi WebView oppure
- Apra l’Auth Dialog in una nuova finestra pop-up.
Dia un’occhiata alle specifiche dell’oAuth per ulteriori informazioni su iFrame e clickjacking.
Clickjacking
In un attacco clickjacking, l’aggressore registra un cliente legittimo per poi creare un sito malevolo dove caricare la pagina web dell’/authorization endpoint del server di autorizzazione in un iFrame trasparente, sovrapposto a una serie di pulsanti fittizi creati con cura per essere posizionati direttamente sotto pulsanti importanti della pagina di autorizzazione. Quando un utente finale clicca un pulsante ingannevole, ne sta cliccando in realtà uno invisibile sulla pagina di autorizzazione (ad esempio un pulsante “Autorizza”). Ciò permette all’aggressore di indurre il proprietario della risorsa a concedere l’accesso al cliente senza saperlo.
Per prevenire questo tipo di attacco, le app native DOVREBBERO utilizzare browser esterni invece di inserire browser nell’applicazione nella richiesta di autorizzazione al cliente finale. Per i browser più recenti, il server di autorizzazione può evitare iFrame utilizzando un header (non standard) “x-frame-options”. Questo header può avere due valori, “deny” e “sameorigin”, che bloccherà rispettivamente framing, o framing provenienti da siti con un’origine diversa. Per i browser meno recenti, è possibile utilizzare il framebusting con Javascript, ma non è efficace in ogni singolo caso.
Commenti
0 commenti
Questo articolo è chiuso ai commenti.