IE8 helpt weinig tegen click-jacking

Microsoft zegt in Internet Explorer 8 met X-Frame-Options een methode te hebben gevonden die de mogelijkheden om een pagina in te framen inperkt. Microsofts programma manager Eric Lawrence geeft details over deze aanpak op de IE-blog. Critici menen dat de aanpak niet gaat werken. De bescherming bestaat uit het feit dat de ontwikkelaars van websites en webtoepassingen met elke pagina een 'http response header ' moeten sturen. "Het moet door de website zelf werden gedaan. dat is niet echt de beste manier om gebruikers te beschermen", zegt bijvoorbeeld Robert Hansen, algemeen directeur van beveiligingsbedrijf SecTheory op verschillende Amerikaanse nieuwssites.Een vergelijkbaar hulpmiddel, HTTPOnly, om cookie-misbruik tegen te gaan dat jaren geleden werd geïntroduceerd, is ook vrijwel nooit toegepast. Bovendien bestaat het internet uit miljarden pagina's die niet van een dergelijke header zijn voorzien. Overigens is click-jacking nog vooral een theoretische bedreiging. Verschillende beveiligers hebben een 'proof of concept' gedemonstreerd, maar in het wild is het fenomeen nog niet aangetroffen.