Google Bildersuche hebelt SSL aus

[Guenter59]

Hi @all
Wenn man bei Google die Bildersuche benutzt, dann wird die eigene Seite im Frame von Google geladen.
In diesem Frame kann man sich auch  im Shop anmelden ( u.A )oder neu registrieren und das läuft dann ohne SSL und immer noch im Google-Frame.
Google liest also die Anmeldedaten mit.

Hat jemand eine Ahnung wie man das verhindern kann?

Gruß
Günter

Linkback: https://www.modified-shop.org/forum/index.php?topic=31038.0

[Ceciro]

Hallo Günter,

auch da hilft Tante G:
http://www.tu-freiberg.de/~bedarf/SELFHTML/javascript/beispiele/seitenanzeige.htm

Gruß Cicero

[Guenter59]

Hi Cicero
Grundsätzlich weiß ich schon wie das geht.
War wohl etwas unglücklich formuliert.

Es ist aber doch mehr als ein starkes Stück von Google.
Und eigentlich müßte das fest in den Shop eingebaut werden.
Ich werde es auf jeden Fall sofort machen.
So sind die Daten unserer Kunden auf jeden Fall absolut nicht sicher

Ich habe gerade echt einen dicken Hals.
Nicht nur, daß die Bilder Hotverlinkt sind, sondern auch Passwortmitlesen unserer Kunden und
Datenübermittlung ohne SSL

 

Gruß
Günter

PS : Wo würdest Du das Script denn hin machen?

 

[Ceciro]

Hallo Günter,

ich habe es gerade mal in die includes/header.php eingebaut (nach der Einbindung der stylesheets). Dann wird beim Aufruf eines Bildes sofort der Frame aufgelöst und die Produkt-Detailseite angezeigt.

Das halte ich für die Kunden auch für sinnvoll, weil es Clicks erspart und das Denken ersetzt, was als nächstes zu tun ist (keep it simple). Könnte jedoch dazu führen, dass Tante G das mit Delisting "belohnt".

Werde das mal beobachten.

Gruß Cicero

[Godzilla]

Ich habe gerade echt einen dicken Hals.
Nicht nur, daß die Bilder Hotverlinkt sind...

Die einen beschweren sich, dass Google die Bilder umwandelt und so zu "eigenen Content" macht und andere beschweren sich über eine "Hot-Verlinkung".

Dabei kann man das sehr schnell beheben:

Code: PHP  [Auswählen]

<meta name="robots" content="noimageindex">

[Guenter59]

Hi Cicero
Theoretisch könnte man ja auch abfragen auf welcher Seite sich der Nutzer befindet und nur bei datenschutzrelavanten Seiten ( also - Anmeldung, Registrierung, Warenkorb und ... ) den Frame auflösen.

Gruß
Günter

Mit Bestrafung von Tante Gockel ist immer zu rechnen.
Es wird dringend Zeit das diese Marktmacht durchbrochen wird.

[Guenter59]

Die einen beschweren sich, dass Google die Bilder umwandelt und so zu "eigenen Content" macht und andere beschweren sich über eine "Hot-Verlinkung".

Ob Hotverlinkt oder nicht, Google macht sie so oder so zu eigenen Inhalten.

Das größere Problem ist für mich aber die Anmeldung, Registrierung etc ohne SSL.

GMS

[Matt]

Google liest also die Anmeldedaten mit.

Wenn man keine Ahnung hat sollte man jemanden fragen, der sich mit sowas auskennt, bevor man derart schwerwiegende Beschuldigungen in den Raum stellt, die jeder Grundlage entbehren.

Ob Hotverlinkt oder nicht, Google macht sie so oder so zu eigenen Inhalten.

Äh warte mal.... Nein, machen sie nicht, wenn sie die Bilder hotlinken.

Das größere Problem ist für mich aber die Anmeldung, Registrierung etc ohne SSL.

Das größere Problem ist für mich, dass hier Leute, die nicht den kleinsten Hauch davon haben, wie dieses Internet funktioniert, wacklige Thesen und Unwahrheiten in den Raum stellen.

Könnte jedoch dazu führen, dass Tante G das mit Delisting "belohnt".

Könnte nicht, wird. Der Einsatz von Framebreakern führt dazu, dass man aus der Bildersuche rausfliegt. Und als jemand, der die Bildersuche häufig und gerne nutzt muss ich sagen: Das ist auch gut so.

[Alfred]

..oder neu registrieren und das läuft dann ohne SSL und immer noch im Google-Frame.
Google liest also die Anmeldedaten mit.

Wenn man keine Ahnung hat sollte man sich informieren.
http://de.selfhtml.org/html/frames/index.htm

Frames bestehen aus mindestens 2 Seiten die in einer Seite dargestellt werden.
Wenn du über die de-Bildersuche in einen Shop kommst dann wird dort dein Protokoll verwendet.
Oder wird aus deinem https dort plötzlich http?
Selbst im Link oben steht dann https zu deiner Seite.
Man sieht es auch im Quelltext. Strg+U und dann mit Strg+F kann man danach suchen.

Du solltest das nutzen.
<meta name="googlebot" content="noindex">

Das es ohne ssl funktioniert liegt an deinem Shop.
Die Anmelde-Seite funktioniert ohne ssl.

[Godzilla]

Könnte jedoch dazu führen, dass Tante G das mit Delisting "belohnt".

Könnte nicht, wird. Der Einsatz von Framebreakern führt dazu, dass man aus der Bildersuche rausfliegt. Und als jemand, der die Bildersuche häufig und gerne nutzt muss ich sagen: Das ist auch gut so.

Allerding muss man da sagen, dass Google selbst (eher unabsichtlich und indirekt) dazu rät:

Remember

Tip: HTML5 Boilerplate project contains sample configuration files for all the most popular servers with detailed comments for each configuration flag and setting: find your favorite server in the list, look for appropriate settings, and copy / confirm that your server is configured with recommended settings.

https://developers.google.com/web/fundamentals/performance/optimizing-content-efficiency/http-caching

Dort findest sich dann dies (inklusive Hinweis auf die Google-Bildersuche):

Code: PHP  [Auswählen]

# ------------------------------------------------------------------------------
# | Clickjacking                                                               |
# ------------------------------------------------------------------------------

# Protect website against clickjacking.

# The example below sends the `X-Frame-Options` response header with the value
# `DENY`, informing browsers not to display the web page content in any frame.

# This might not be the best setting for everyone. You should read about the
# other two possible values for `X-Frame-Options`: `SAMEORIGIN` & `ALLOW-FROM`.
# http://tools.ietf.org/html/rfc7034#section-2.1

# Keep in mind that while you could send the `X-Frame-Options` header for all
# of your site’s pages, this has the potential downside that it forbids even
# non-malicious framing of your content (e.g.: when users visit your site using
# a Google Image Search results page).

# Nonetheless, you should ensure that you send the `X-Frame-Options` header for
# all pages that allow a user to make a state changing operation (e.g: pages
# that contain one-click purchase links, checkout or bank-transfer confirmation
# pages, pages that make permanent configuration changes, etc.).

# Sending the `X-Frame-Options` header can also protect your website against
# more than just clickjacking attacks: https://cure53.de/xfo-clickjacking.pdf.

# http://tools.ietf.org/html/rfc7034
# http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
# https://www.owasp.org/index.php/Clickjacking

# <IfModule mod_headers.c>
#     Header set X-Frame-Options "DENY"
#     <FilesMatch "\.(appcache|atom|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcf|vtt|webapp|web[mp]|woff2?|xml|xpi)$">
#         Header unset X-Frame-Options
#     </FilesMatch>
# </IfModule>
 

Man müsste also den Code so anpassen, dass er nur sensible Seiten wie die login.php etc. betrifft (eine Login-Box sollte man eh nicht auf alle Seiten packen) und schon könnte man ihn problemlos einsetzen.

[Matt]

Man müsste also den Code so anpassen, dass er nur sensible Seiten wie die login.php etc. betrifft (eine Login-Box sollte man eh nicht auf alle Seiten packen) und schon könnte man ihn problemlos einsetzen.

Um ein Problem zu lösen das nicht existiert...

[Guenter59]

Daß ich mit dem Frame und mitlesen im Unrecht war ist mir jetzt auch klar. Hätte ich eigentlich auch von selbst drauf kommen können.
Ungünstig ist es allerdings, daß die Seite vom Browser im Google-Frame als unsicher bewertet wird. Obwohl das für die Google-Seite gilt, dürfte es den Kunden doch etwas irritieren, weil er fortlaufend überall darauf hingewiesen wird, auf SSL zu achten.
-----------------
Zum Framebreaker
Ich habe das bei mir so gelöst, aber wahrscheinlich gäbe ( oder gibt ) es eine bessere Lösung

Code: PHP  [Auswählen]

<?php
$suche="/account\.php|shopping_cart\.php|login\.php|checkout_shipping\.php|create_account\.php/";
if(preg_match($suche,$PHP_SELF)) {
?>
  <script type="text/javascript">
<!--
if (self != top) {
parent.location.href=self.location.href;
}
//-->
</script>
<?php  
}
?>

[Guenter59]

Um ein Problem zu lösen das nicht existiert...

Zumindest um dem Nutzer zu zeigen, daß er sich auf einer SSL-Seite befindet

GMS

[Matt]

Zumindest um dem Nutzer zu zeigen, daß er sich auf einer SSL-Seite befindet

„Raffen User, die nicht raffen, dass rechts noch der Frame der Google-Bildersuche ist, dass ihnen SSL oben nicht angezeigt wird?” klingt für mich eher nach dem Titel einer Doktorarbeit.