Protection contre le détournement de clic

Tableau Server inclut une protection contre les attaques par détournement de clic. Le détournement de clic est un type d’attaque contre les page Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte de Tableau Server, l’objet d’une attaque par détournement de clic pourrait être de capturer les identifiants d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres sur votre serveur. Pour plus d’informations sur les attaques par détournement de clics, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clic) sur le site Web OWASP (Open Web Application Security Project).

Remarque : La protection contre le détournement de clic était disponible dans les versions précédentes de Tableau Server, mais elle était désactivée par défaut. Dans les nouvelles installations de Tableau Server 9.1 et ultérieur, la protection contre le détournement de clic sera toujours activée, à moins que vous ne la désactiviez.

Effets de la protection contre le détournement de clic

Lorsque la protection contre le détournement de clic est activée dans Tableau Server, le comportement des pages chargées à partir de Tableau Server est modifié comme suit :

  • Tableau Server ajoute l’en-tête X-Frame-Options: SAMEORIGIN à certaines réponses du serveur. Dans les versions actuelles de la plupart des navigateurs, cet en-tête empêche le chargement de contenu dans un élément <iframe>, ce qui évite les attaques par détournement de clic.

  • La page de niveau supérieur de Tableau Server ne peut pas être chargée dans les éléments <iframe>. Cela inclut la page de connexion. En conséquence, vous ne pouvez pas héberger des pages Tableau Server dans une application que vous créez.

  • Seules les vues peuvent être intégrées.

  • Si une vue intégrée requiert des identifiants de source de données, un message s’affiche dans l’élément <iframe> avec un lien permettant d’ouvrir la vue dans une fenêtre sécurisée qui offre à l’utilisateur la possibilité d’entrer en toute sécurité ses identifiants. Les utilisateurs doivent toujours vérifier l’adresse de la fenêtre ouverte avant d’entrer les identifiants.

  • Les vues peuvent être chargées uniquement si elles incluent le paramètre :embed=y dans la chaîne de requête, comme dans l’exemple ci-dessous :

    http://<server>/views/Sales/CommissionModel?:embed=y

    Remarque : lorsque la protection contre le détournement de clic est activée, il peut arriver que les vues intégrées utilisant l’URL copiée depuis la barre d’adresses du navigateur ne se chargent pas. Ces URL de vue qui contiennent généralement le signe dièse (#) après le nom du serveur (par exemple http://myserver/#/views/Sales/CommissionModel?:embed=y) sont bloquées lorsque la protection contre le détournement de clic est activée dans Tableau Server.

Désactivation de la protection contre le détournement de clic

Vous devez laisser la protection contre le détournement de clic activée, à moins qu’elle n’ait un impact sur l’utilisation de Tableau Server. Si vous voulez désactiver la protection contre le détournement de clic, utilisez les commandes tsm suivantes :

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!