Frage zu bzw. Erfahrung mit Click Jacking

  • Hallo zusammen,

    wir haben eine Mail erhalten in der es heißt, dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird. Ich kann das nicht beurteilen ob das wirklich so ist. Hat da jemand eine Erfahrung wie man das feststellen kann?

    Wie kann man sich davor schützen? Über HTTP-Header X-FRAME-OPTIONS ? Kann man diese Haederinfo in eine Overridedatei in die index.php eintragen?

    Ich habe gelesen, in Joomal 4 ist zur Verhinderung von Click Jacking bereits ein Plugin integriert. Kann man ein entsprechendes Plugin auch in Joomla 3 verwenden? Wenn ja, habt ihr eine Empfehlung?

    Danke für eure Tipps.

  • das ist der Inhalt der kompletten Mail


  • dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird

    Das steht so nicht drinnen, sondern er weist darauf hin, dass es möglich wäre, AAABER das kann ich nicht beurteilen. Vielleicht auch nur ein netter Mensch ;-) Oder einer, der Geschäfte machen will oder ...


    Jedenfalls sollten alle Login-Seiten und ähnliches unter https laufen und nicht mehr unter http. Das würde ich jedenfalls bald anpassen für die genannte Seite, wenn das deine ist(???)


    Das Plugin für Joomla 3 von zero24 findest du hier: https://github.com/zero-24/plg…tpheader/releases/latest/

  • Hallo zusammen,

    ich danke euch allen für eure Antworten. Da habt ihr recht mit dem SSL. Ich habe jetzt mal die Loginmöglichkeit deaktiviert. Das ist tatsächlich eine Nebenwebsite (und nicht die meine), die noch ausgebaut werden soll, aber, es ist wie mit vielen Dingen, nichts ist zählebiger als ein Provisorium.

    Das inbegriffene SSL-Zertifikat von Ionos liegt bei einer anderen Domain.

    VG Luzi


    Da fällt mir noch eine Frage dazu ein. Es ist aber so, dass eine SSL-Verschlüsselung diesen Click Jacking-Missbrauch nicht verhindern kann, oder?

    Never change a running system

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von Luzi mit diesem Beitrag zusammengefügt.

  • Da fällt mir noch eine Frage dazu ein. Es ist aber so, dass eine SSL-Verschlüsselung diesen Click Jacking-Missbrauch nicht verhindern kann, oder?

    Ja! Es werden lediglich die Daten zwischen Webseite und Server verschlüsselt übertragen. Einige Browser melden ohne https eine unsichere Seite. Auch die Suchmaschinen sehen das überhaupt nicht gerne. Und für Kontaktformulare ist es aus datenschutzrechtlichen Gründen sogar Pflicht.

    Ein SSL-Zertifikat lohnt in jedem Fall.


    Nebenbei: Oftmals gelten SSL-Zertifikate für alle im Tarif enthaltenen Domains. Das kommt natürlich auf den Hoster und den Tarif an.

    Und eine zusätzliche Absicherung des Backends wäre auch immer zu empfehlen. Das ist ein wichtiger Grundschutz.


    Und solange es nur mal vereinzelte Emails sind, die da so ankommen, würde ich mir keine großen Gedanken machen.