Wenn Cryptshare als Teil einer Webseite erscheinen soll muss das
Einbetten aktiviert werden.
Rufen die Benutzer Cryptshare
direkt auf (nicht als Teil einer Webseite) so wird empfohlen, das
Einbetten zu deaktivieren.
Obwohl das Angriffsszenario für Cryptshare kein hohes Risiko darstellt, ermöglicht das Einbetten einem potentiellen Angreifer die Durchführung einer sogenannten 'ClickJacking' Attacke.
Voraussetzung für diese Art der Attacke ist, dass der Angreifer den Benutzer irgendwie auf eine Seite unter seiner Kontrolle umgeleitet hat.
Innerhalb dieser Seite hat der Angreifer, für den Benutzer unsichtbar, Cryptshare eingebettet. Die Seite zeigt einen Button der ein bestimmtes Verhalten vorgaukelt, z.B. einen Facebook Mag-Ich Button. Der Benutzer klickt auf diesen Button, kann dabei allerdings nicht erkennen dass er in Wirklichkeit auf einen Button im Hintergrund (Ein Button aus der Cryptshare Anwendung) geklickt hat.
Der Benutzer löst also einen Cryptshare Prozess aus obwohl er davon ausgeht etwas anderes getan zu haben.