dat zuigt best wel :s

nou dat gaat leuk worden dan kunnen we ook hard nekkiger virussen gaan
verwachten die zich in de cookies verstoppen.

Door Redactie op vrijdag 01 april...........

das heel aardig van
ze, maar als die consument dat gewoon niet wil dan moeten ze
dat maar lekker accepteren.

Gelukkig kan oa FireFox ze standaard weggooien als je
afsluit en dat blijft een fijne feature. Maar ik zit me wel
te bedenken hoe erg PIE in strijd is met sommige privacy
wetgevingen.

Ik ben bang dat je gelijk hebt. Ik hoop dan ook niet dat we dat over ons
heen krijgen.

Om de werking van cookies verder te frusteren zou het blokkeren van de
betreffende websites een goed alternatief kunnen zijn. Zitten de cookies
toch op je PC, dan kunnen de gegevens vervolgens niet meer naar die
websites worden gestuurd. Een goed firewall kan daarbij helpen.

Op AntiOnline stond daar laatst nog een artikel over

http://www.antionline.com/showthread.php?s=&threadid=265507

Dus zonder Flash plugin, geen probleem?

Dat is het einde van Flash, denk ik dan.... In ieder geval
op mijn systeem.

dat kan natuurlijk, maar dan kun je op een aantal sites
voledig niet meer komen. helaas is niet iedereen even netjes
met een wel en een niet flash site te maken.

Goeie link, thnx for sharing. :)

tuurlijk 1 april

Nee, hoor, het is geen 1 april grap. (Misschien is het dat
wel, maar het is ook technisch mogelijk).

Uit de Flash Actionscript handleiding:
http://www.macromedia.com/support/flash/action_scripts/actionscript_dictionary/actionscript_dictionary648.html

Verder was het in Internet Explorer ook al mogelijk met
gesignde applets, jawel, zonder dialoogbox. Maar die
informatie heeft Microsoft allang weer van MSDN gehaald. Er
staan nog een paar documenten om naar J# te migreren...

fijn voor ontwikkelaars, die kunnen teminste niet meer hun
cookies verwijderen als de zaak vastloopt :)

moet je weer een cookiereset script gaan bijhouden..

Flash vormt, net als elke browser plugin, een extra security
risico. Feitelijk bevat een SWF file gewoon code waarvan je
mag hopen dat de Flash plugin deze goed sandboxed.
Maar los van dat aspect maakt Macromedia het m.i. veel te
bont met wat er, zonder dat je het weet, op je schijf
opgeslagen (en gelezen) kan worden. De "Flash cookies" op je
schijf waar het hier om kunnen, per site, tot (by default)
100KByte aangroeien:
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager.html#117152

Daarmee zijn m.i. ze eerder een cache dan een cookie. De
enige officieele manier om de max. grootte te beinvloeden is
door het bezoeken van Macromedia's website en gebruik te
maken van een Flash object (waarmee Macromedia mogelijk weet
en bijhoudt wat "klanten" allemaal wijzigen). Ik hoop dat
dit mechanisme goed beveiligd is en third party plugins hier
niet bij kunnen, maar ik vind 100KB al veel te veel. In
tegenstelling tot de URL op de antionline site is de
volgende URL versie-onafhankelijk (en word je, als ik het
goed heb, naar de juiste page doorgestuurd):
http://www.macromedia.com/support/flashplayer/help/settings/global_storage.html

Eind 2003 zijn er PoC's (en mogelijk echte exploits, ik
herinner me dat niet meer) in omloop geweest die gebruik
maakten van het feit dat deze cookies in een "well known"
directory werden opgeslagen. Jelmer Kuperus legt, na eerdere
publicatie van een exploit (waarbij de Flash vector
niet wordt genoemd) , m.i. het beste uit wat er
gebeurt:
http://seclists.org/lists/bugtraq/2003/Oct/0249.html;
lees ook Thor Larholm's post
http://seclists.org/lists/bugtraq/2003/Oct/0242.html
en evt. de daaropvolgende messages.

Macromedia heeft die bug gefixed door, net als webbrowsers
dat doen, ook een subdir met een random naam op te nemen.
Waarom konden Macromedia ontwikkelaars dit niet zelf
bedenken en was er eerst weer een PoC voor nodig? Ik vrees
dat dit veel zegt over de security van Flash, niet in de
laatste plaats omdat deze al vaker geplaagd is met sec.
issues. Het is boffen dat deze niet vaker worden/zijn
ge-exploit, want een aantal daarvan zouden, naast dat ze
browser-onfahankelijk zijn, ook wel eens
platform-onafhankelijk en zelfs
architectuur-onafhankelijk (d.w.z. CPU) kunnen zijn;
zie bijv. http://www.securityfocus.com/bid/5429.

Deze cookie/cache van default 100KB per site vormt
natuurlijk een uitgelezen plaats voor elke adverteaser om
daar jouw surfgedrag in op te slaan. Zolang dat bij een
enkele site blijft zal je schijf niet vollopen, maar als
veel sites dit gaan doen kan het hard gaan (n.b. bij het
bezoeken van een enkele webpage kan er al sprake zijn van
een flink aantal bannersites). Als deze gegevens onder een
roaming profile worden opgeslagen, dan wordt in- en
uitloggen ook geen pretje.

B.t.w. ik zou graag eens van allen die roepen dat Firefox
niet in een bedrijf valt te draaien, horen hoe ze deze Flash
instellingen (via group policies o.i.d.) voor elkaar
krijgen. Of wordt Flash ook gemeden om die reden?

Ten slotte is Flash misschien wel enigszins een open
formaat, maar dat haalt het niet bij standaarden die de W3C
neerzet. Een geflashte website is gewoon NIET compatible, en
hoewel ik best begrijp dat je er leuke interactieve
elementen mee kunt maken, zijn er ook malloten die elke
button naar subpages e.d. "flashen" waarmee zo'n site totaal
ontoegankelijk is zonder de bijbehorende Macromedia plugin.

Ik heb GEEN Flash plugin in m'n Firefox geinstalleerd. Als
ik daar een site niet mee kan bekijken moet het wel
heel erg belangrijk zijn wil ik daar
good^h^h^h^h bad old MSIE nog voor opstarten.

Hopelijk leidt deze "cookie-issue" er toe dat de popularteit
van Flash terugloopt en men fatsoenlijke websites gaat maken
(waar ook, of uitsluitend, flashless pagina's op te vinden
zijn) en daarnaast echt open protocollen zoals SVG
een faire kans krijgen - waarbij we als security community
wel de vinger aan de pols moeten blijven houden!

Erik van Straten

wat ik zowiezo al geinig vind in de SWF files is de optie
voor met iemands the kunnen praten via de microfoon :)

Ik geloof dat er ook permanent geheugen aan komt waarop windows is
voorgebakken. Als je Linux wilt heb je gewoon pech. Voordeel: erg snel
met opstarten.

En dan dit:

http://www.zdnet.nl/news.cfm?id=44492

ben je zelfs nog niet/nooit op die sites geweest loop je al
het risico dat je cookies hebt. Ik zie het al in de
rechtszaal: Nee edelachtbare, ik surf met FireFox en die
hebben een optie 'prefetch' en zo komen die cookies op mijn
systeem.
--"Uh u heeft wattuh?"

das "intressant", maar firefox zou firefox niet zijn als je
dat ook niet gewoon lekker uit kan schakelen :-)

http://www.google.com/help/features.html#prefetch

Op zaterdag 02 april 2005 08:53 schreef Anoniem:

> En dan dit:
>
> http://www.zdnet.nl/news.cfm?id=44492

Dank je wel voor deze URL. Ik wist niet dat Firefox dit
prefetch mechanisme gebruikte, laat staan dat Google er
gebruik van is gaan maken.

Ik maak me nog de minste zorgen over cookies (alhoewel ik de
gevolgen van Google+Firefox prefetch in combinatie met Flash
cookies niet overzie). Over het algemeen wordt het risico
van cookies sterk overdreven, wat daar in staat kan een
website ook zelf opslaan. Sterker nog, de meeste
adverteerders doen dat ongetwijfeld, waarbij de cookie bijv.
een index is in hun database. Blokkeer je cookies dan kunnen
ze je altijd indexeren op basis van je IP-adres en wat jouw
browser hen vertelt (da's veel). Tuurlijk maken proxies en
NAT-firewalls dit lastiger, maar toch; door een beetje naar
jouw interesses te kijken kan elke (banner-) site een of
meer profielen van je opbouwen, ook zonder cookies.

Waar ik me wel zorgen over maak zijn, onder andere,
gekraakte of gewoon kwaadaardige websites waar exploits op
staan. Als je met een niet up-to-date Firefox Googled, en
bovenaan resultaatpagina 1 staat een verwijzing naar een
site die je een gemanipuleerde GIF-file met Netscape 2
extensions stuurt (zie
http://www.mozilla.org/security/announce/mfsa2005-30.html
kan dit problemen geven. Hoewel ik vermoed dat de exploit
pas bekrachtigd wordt op het moment dat het plaatje
getoond wordt, zijn andere exploits denkbaar die
plaatsvinden tijdens prefetch. Wat in dit geval wel kan is
dat je virusscanner alarm slaat. Het is dan totaal
onduidelijk voor welke site dat alarm bedoeld is, en het is
denkbaar dat mensen Google zullen verdenken (wel een beetje
terecht).

Daarnaast kan er ongewild allerlei narigheid in de
browsercache terechtkomen. Anoniem noemde de rechtzaal al;
inderdaad is het ongewenst dat, als er een verdenking tegen
je bestaat, er "handtekeningen" zoals (kinder) porno,
rassistische en/of terroristische- of politiek discutabele
info van sites die je niet bewust bezocht hebt in je
browser cache aangetroffen worden. Ook kunnen ouders hun
kinderen zo onterecht verdenken van het bezoeken van
verboden sites, en BOFH's hun klantjes (het is niet
ondenbkaar dat je om deze reden ontslagen wordt).

Aan de andere kant vertroebelt dit het beeld bij een
serieuze verdenking wat de pakkans van terroristen en
pedofielen kan verminderen (maar als zij slim zijn gebruiken
ze geen browsers die zoveel sporen achterlaten en/of wissen
die sporen grondig). Ook is dit niet handig voor Donner's
sniffer project.

Ten slotte wordt er onterecht bandbreedte gebruikt en ruimte
op je schijf deels verspild. De commercieele consequenties
van het wel downloaden maar niet bekijken van webpages kan
ik niet overzien, maar ik kan me zo voorstellen dat men er
ook in die hoek (al was het maar vanwege hun server-load en
netwerkbelasting) niet blij mee is. Stel dat een boel mensen
tegelijkertijd naar "internet explorer vulnerability" o.i.d.
googlen dan krijgt het bovenste rijtje sites het erg druk
(mogelijk is dit weer op de een of andere manier te
automatiseren met een nieuw type DoS attacks als gevolg).

Los van Google vind ik het onjuist dat "prefetch" by default
aan staat in Firefox, en erger nog, zonder dat ik dat weet
(ik heb het onmiddellijk uitgezet). Ik zal een concreet
voorbeeld geven waarom.

Er zijn nog veel sites die verwijzen naar (munged, je wilt
er niet naar toe):
http://www.incident-response dot org/
Onder andere verwijst
http://odessa.sourceforge.net/ naar die site (ik
kwam overigens via-via op de Odessa site uit na het lezen
van http://www.security.nl/article/10504/1). Op
zich is er niets mis met de Odessa page, ware het niet dat
deze aan de rechterkant verwijst naar een aantal andere
sites die zich met forensics zouden bezighouden. In
dat rijtje staat ook textueel "I-R.org", die verwijst naar
genoemde incident-response site.

De bedoeling van prefetch lijkt te zijn dat mijn browser
besluit daar maar vast een verbinding mee te maken en
webpage(s), plaatjes en wie dies meer zij alwast in m'n
browsercache te dumpen - voor het geval dat ik die
pagina besluit te openen (ik moet eerlijk bekennen hier te
zijn ingetrapt en dat ook daadwerkelijk te hebben gedaan,
maar ik klik natuurlijk niet op elke link).

Wat ik op dat moment niet wist is dat genoemd
incident-response domain al eind 2003 is overgenomen door
mensen met andere intenties. Genoemde site staat vol met
dezelfde junk die ook voorkomt in een groot deel van de
(ongewenste) email die ik ontvang. Ik heb er zo gauw geen
exploits op kunnen ontdekken maar sluit niet uit dat je,
afhankelijk van de browser die je gebruikt, aangepaste
narigheid krijgt aangeboden. Onderaan de page staan een
groot aantal URL's die allemaal naar enkele IP-adressen
verwijzen met dezelfde prut (mocht jouw spamfilter checken
op geadverteerde URL's dan kun je hiermee je blacklist flink
uitbreiden).

Naar aanleiding hiervan heb ik eerder vanmiddag een email
met vergelijkbare inhoud als hierboven o.a. naar de security
accounts van Google en Mozilla gestuurd waarin ik ze op een
aantal gevaren van prefetch wijs.

Erik van Straten

Deze mogelijkheid van Flash bestaat al lang is zeker erg
handig met Rich Media Applications. De bestanden hebben een
.sol extensie en kunnen gevonden worden in de flashplayer
map bij de lokale gebruiker gegevens.
(bv: C:Documents and Settingsgebruiker.machienApplication
DataMacromediaFlash Player)
Net als bij cookies bestaan deze bestanden uit platte tekst
en kan er geen uitvoerbare commando's in worden opgeslagen.
Erg handig voor het 9tijdelijk) cachen van veel informatie.
Het lijkt me eenvoudig dat de browsers of flash player
settings ook een 'clean flash cache' setting krijgen.

Een gebruiker kan deze bestanden ALTIJD weggooien, dus wat
voor 'technologie ontwikkeld' is vraag ik me af. Meer het
handige gebruik van een ander cache dan dat van cookies.

Robert Kuunders
Docent Internet Publishing