Flash en Safari falen privacytest
Flash is niet alleen de "tyfus" van het internet, het vormt ook een serieuze bedreiging voor de privacy van internetgebruikers, zo hebben onderzoekers ontdekt. De populaire browser plugin slaat sporen van browser sessies op en maakt die voor websites toegankelijk, waardoor de werking van een "pornoknop" wordt ondermijnd. Onderzoekster Katherine McKinley onderzocht hoe goed Safari, Firefox, Google Chrome en Internet Explorer de sporen van hun gebruikers kunnen wissen en wat voor informatie plugins zoals Flash en Google Gears achterlaten.
Google Gears, een plugin om offline webapplicaties te gebruiken, doet het in dit opzicht bijzonder goed. Zo waarschuwt het gebruikers als het informatie over hen opslaat, gebruikt het een per-browser data store en integreert het de user interface met die van de browser. Flash daarentegen doet helemaal geen van deze zaken, en laat websites stilletjes informatie opslaan, gebruikt het een globale data store voor alle browsers en zijn de instellingen alleen te wijzigen als de gebruiker met het internet is verbonden. Websites zoals MySpace en Amazon gebruiken Flash cookies om informatie over hun bezoekers op te slaan. Wie websites niet toestaat om cookies te plaatsen, kan zo toch nog gemonitord worden.
Safari
McKinley keek ook hoe goed browsers de opgeslagen informatie van hun gebruikers verwijderen. In het geval van Apple's Safari gaat er het nodige mis. Zo blijft de inhoud van de HTML 5 Database store gewoon staan, ook al kiest de gebruiker voor het wissen van de privégegevens. In het geval van Internet Explorer 8 Beta 2 moest men de browser eerst sluiten om echt alle gegevens te verwijderen.
"Safari op Windows presteerde het slechtst als het om private browsing gaat, en verwijderde helemaal geen gegevens, zowel niet voor als na het gebruik van de pornoknop. Op OS X was Safari's gedrag grillig te noemen; in geen enkel geval werd de HTML 5 database storage geleegd voordat men de pornoknop gebruikte. Eerder opgeslagen cookies waren tijdens de private browsing sessie ook gewoon beschikbaar."
Adobe geeft toe dat de Flash plugin de privacy instellingen van de browser niet overneemt. Via deze website en het gebruik van de Settings Manager is het mogelijk om opgeslagen Flash cookies te verwijderen.
Oplossing
Volgens McKinley moeten plugins extra maatregelen nemen om de privacy van hun gebruikers te garanderen. Daarbij kan Flash een voorbeeld aan Google's Gears nemen, wat gebruikers om toestemming vraagt. "Browser- en pluginontwikkelaars moeten samenwerken om hun platformen betrouwbaarder te maken. Een verzameling gestandaardiseerde APIs om data te verwijderen zou voor alle plugins verplicht moeten worden. Zolang deze APIs er niet zijn, moeten plugins om toestemming vragen voordat een website lokaal data mag opslaan."
Websites zoals MySpace en Amazon gebruiken Flash cookies om informatie over hun bezoekers op te slaan. Wie websites niet toestaat om cookies te plaatsen, kan zo toch nog gemonitord worden.
end qoute.
ik denk dat Firefox's flashblock hier ook geen soelas bied dan :(
Websites zoals MySpace en Amazon gebruiken Flash cookies om informatie over hun bezoekers op te slaan. Wie websites niet toestaat om cookies te plaatsen, kan zo toch nog gemonitord worden.
end qoute.
ik denk dat Firefox's flashblock hier ook geen soelaas biedt dan :(
Toch wel! Wat de denken van de criminele organisatie Microsoft? Net als jou, keer op keer veroordeeld en maar blaten dat anderen niet te vertrouwen te zijn.
Toch wel! Wat de denken van de criminele organisatie Microsoft? Net als jou, keer op keer veroordeeld en maar blaten dat anderen niet te vertrouwen te zijn.
[/quote]Google is groter dan Microsoft en jat gewoon gegevens van Jan en alleman. Over crimineel gesproken.
runnen jullie alles dan als jullie het zo goed weten
Nou weet je wat, we wachten op jullie geniale en 100% veilige OS en browser
En dan kraken we jullie net zo af
Websites zoals MySpace en Amazon gebruiken Flash cookies om informatie over hun bezoekers op te slaan. Wie websites niet toestaat om cookies te plaatsen, kan zo toch nog gemonitord worden.
En voor wat betreft google: Ik moet er inderdaad niets van hebben. Ik erger me dan ook aan zoekfuncties op websites die je ineens naar google sturen omdat ze zelf niet de moeite nemen om een zoek functie te maken, en dat zonder enige indicatie voordat dat dit via google gebeurd.
Maar misschien is het handiger om juist zoveel mogelijk te bewaren. De huidige heksenjacht op kinderporno zal vast resulteren in mensen die vals beschuldigd gaan worden, op grond van bewaarde gegevens. In zo'n geval kan een lokaal bewaarde sluitende browser-geschiedenis misschien duidelijk maken dat men iemand anders moet hebben.
Frappant overigens dat men niet ActiveX maar Flash noemt als tyfus van internet. Me dunkt dat ActiveX al heel wat meer schade veroorzaakt heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
