<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Aug 29, 2015 at 11:13 AM, Kevin W. Wall <span dir="ltr"><<a href="mailto:kevin.w.wall@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=kevin.w.wall@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">kevin.w.wall@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">> The web may be *forced* into using something like "visual<br>
> cryptography" in order to get around "clickjacking", whereby<br>
> the user is tricked into clicking on the wrong button (or the<br>
> right button for the wrong reasons).  It's getting harder &<br>
> harder for a web site to know & guarantee that what it thinks<br>
> is being displayed is actually what a user sees & is agreeing<br>
> to.  See Dan Kaminsky's recent DEFCON talk for more info:<br>
<br>
Slightly OT for crypto, but I'll toss this out. I just think crypto<br>
is overkill for addressing clickjacking attacks.<br></blockquote><div><br></div><div>100% agree with this.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Just about every recent version of every modern browser supports<br>
the X-Frame-Options HTTP response header which, when used<br>
correctly and consistently, is effective in preventing all known<br>
clickjacking (aka, UI redress) attacks.</blockquote><div> </div><div>There are a few deficiencies with X-Frame-Options which is what Dan Kaminsky's talk was about.</div><div><br></div><div>X-Frame-Options: DENY is the nuclear option to prevent clickjacking. This prevents content embedding. But what if we want to embed a clickable widget in another page, but prevent clickjacking?</div><div><br></div><div>What's really needed is a way for iframes to reason about how they're being embedded in other content. This was the actual subject matter of Dan Kaminsky's talk. He presented a concept called "IronFrame", but more recent W3C work seems to be around a Position Observer API:</div><div><br></div><div><a href="https://github.com/slightlyoff/PositionObserver/blob/master/explainer.md">https://github.com/slightlyoff/PositionObserver/blob/master/explainer.md</a><br></div><div><br></div><div>Anyway, no crypto necessary. And that's good: I am all for solving web security problems *without* crypto!</div><div><br></div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>