Firefox bug laat aanvallers cookies manipuleren
Er is een nieuwe bug in Firefox ontdekt waardoor kwaadaardige sites de authenticatie cookies van andere websites kunnen manipuleren. Hierdoor kan een aanvaller de gebruiker laten denken dat hij verbinding maakt met een bank, terwijl hij in werkelijkheid gegevens van de kwaadaardige site ontvangt. Michal Zalewski, die eerder ook andere fouten in Firefox ontdekte, maakte deze demonstratie. Het lek is bevestigd in Firefox versie 2.0.0.1.
snoep van vreemden aan te nemen?
Javascript gebaseerd, en NoScript houdt Javascript tegen,
wat wil zeggen dat als je de extensie wijs gebruikt, je toch
veilig zit.
The page at *.dione.cc attempted to set a test cookie for
*.coredump.cx, but failed to complete this operation. It
might be that your browser is not vulnerable to the attack,
or that it is configured not to accept session cookies from
my domains.
Cookies staan bij mij standaard uit. Wanneer ik echt geen
andere keus heb, aanvaard ik cookies maar via "cookies van
websites accepteren => mij elke keer vragen". Net voordat ik
dan de webstek verlaat, worden de cookies verwijderd en
wordt de optie om cookies te aanvaarden gedeselecteerd.
Jammer genoeg zijn er heel wat mensen die blindelings
cookies aanvaarden.
exploit plaatsvinden. Niet in Firefox en niet in SeaMonkey.
ERROR
The requested URL could not be retrieved
While trying to process the request:
GET http://lcamtuf.dione.cc
The following error was encountered:
* Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
* Missing or unknown request method
* Missing URL
* Missing HTTP Identifier (HTTP/1.0)
* Request is too large
* Content-Length missing for POST or PUT requests
* Illegal character in hostname; underscores are not
allowed
Ja, en als NoScript is geïnstalleerd kan er helemaal geen
exploit plaatsvinden. Niet in Firefox en niet in SeaMonkey.
Je kan ook stoppen met browsen. Nog veiliger
by design). De specificatie doet onjuiste aannames hoe dns
werkt en baseert daar zijn 'veiligheid' op.
...
In dit geval lijkt javascript noodzakelijk te zijn voor de
exploit, maar dat is natuurlijk in lang niet alle gevallen
zo...
uitgevoerd worden, lijkt me. Ik kan me niet voorstellen dat
een site de browser kan vragen een koekje van een ander
domein in te zien. Laat staan te veranderen.
De test-site heeft in elk geval uitdrukkelijk Java-script
nodig. De test viel bij mij ondanks het via NoScript
tijdelijk toestaan van coredump.cx toch goed uit. Dat wil
zeggen: de test mislukte doordat mijn browser standaard geen
koekjes aanneemt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
