"Media blundert met Firefox-lek"
Het bericht over het 'obfuscatie-lek' in Firefox dat gisteren op Security.nl en andere media verscheen, had nooit gepubliceerd moeten worden, aldus een bekende beveiligingsonderzoeker. Volgens beveiligingsbedrijf Armorize zat er in de opensource browser een probleem met geobfusceerde URLs die zich in een iframe bevinden. De browser zal in dit geval gebruikers niet waarschuwen als er een andere website wordt geopend dan verwacht. "Dit kan worden gebruikt voor het verspreiden van malware en het stelen van gevoelige informatie", aldus Armorize, dat ook een proof-of-concept online zette.
Beveiligingsonderzoeker Michal Zalewski is verbaasd over alle aandacht die het beveiligingsbedrijf en de zogeheten kwetsbaarheid krijgt. Het gaat namelijk om Mozilla bug 570658. Iedereen die de moeite had genomen om de bugmelding te bekijken, was tot de conclusie gekomen dat het geen probleem betreft. De waarschuwing die Firefox niet geeft is volgens Zalewski ook niet nodig, aangezien de URL in kwestie nooit in de adresbalk verschijnt en dus de gebruiker niet kan verwarren. "Er is geen redelijk aanvalsscenario waar dit voor geldt."
Media
En daar had het verhaal moeten eindigen, aldus de onderzoeker. Toch werd het massaal door de media opgepikt en zag Mozilla zich genoodzaakt om met een uitleg te komen. "De berichten hadden in de eerste plaats nooit mogen verschijnen. Zijn sommige redacteuren werkelijk zo afhankelijk van persberichten, dat het lastig voor ze wordt om berichten te verifiëren, bijvoorbeeld door een onderzoeker even te vragen. Ik heb me dat altijd afgevraagd, maar ik ben bang dat ik het antwoord weet", aldus Zalewski.
Blijkbaar wel, als ze zelfs dit bericht overnemen :)
Als er een sappig verhaal te halen is doen die dat gewoon.
Wil je geen Iframes meer in Firefox. Installeer de NoScript add-on.
bl33p
90% van alle nieuws sites op de internets nemen alles klakkeloos over zonder enige vorm van wedercheck.
dat is het enige wat ik de dodeboom media nog kan meegeven, artikelen worden meestal door een redacteur geschreven naar aanleiding van verhalen, niet dmv kopieeren van verhalen.
en helaas doet deze site daar vrolijk aan mee.
er zou eigenlijk eens een keurmerk moeten komen voor websites met redacteuren die OVER zaken schrijven ipv sites die blind feeds copy pasten.
iets van: "this site is certifiably run by humans with a brain capable of reason and dexterity who actually give a shit and even will make some sort effort using aforementioned reason and dexterity for the convenience of it's visitors in order for them not to have to double-check published articles." AWARD.
of iets in die richting
er zou eigenlijk eens een keurmerk moeten komen voor websites met redacteuren die OVER zaken schrijven ipv sites die blind feeds copy pasten.
iets van: "this site is certifiably run by humans with a brain capable of reason and dexterity who actually give a shit and even will make some sort effort using aforementioned reason and dexterity for the convenience of it's visitors in order for them not to have to double-check published articles." AWARD.
of iets in die richting
Goed idee :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
