Protection contre le détournement de clics pour la modification de la connexion universelle

Le détournement de clics est une attaque qui incite l’utilisateur à cliquer sur un élément de page Web invisible ou déguisé en un autre élément. Pour ce faire, le contenu est chargé dans un iframe et des éléments sont affichés par-dessus. Dans le contexte des pages de connexion universelle, un attaquant pourrait inciter l’utilisateur à cliquer sur un bouton de Se connecter ou Réinitialiser le mot de passe.

Cela peut être évité en définissant les en-têtes HTTP suivants :

X-Frame-Options: deny Content-Security-Policy: frame-ancestors 'none'

Even if the potential attack does not entail significant risk, it’s a good security practice to add the headers. It is also detected by security scanners, so reports from penetration testers might mention the lack of these headers.

Dans les cas où vous affichez la page de connexion dans un iframe, l’ajout de ces en-têtes pourrait constituer une solution très intéressante. Au lieu d’ajouter ces en-têtes pour tous les clients, Auth0 vous a laissé la possibilité d’opter pour ces en-têtes, ce que nous vous recommandons fortement d’activer.

L’action suivante n’est pas nécessaire si vous utilisez la nouvelle expérience de connexion universelle car ces en-têtes sont toujours définis dans ce cas.

Pour accepter ce changement :

1. Allez à Tenant Settings (Paramètres du locataire) > Advanced Settings (Paramètres avancés).

2. Faites défiler jusqu’à Migrations, et désactivez le paramètre Désactiver la protection contre le détournement de clics pour la connexion universelle classique.