Nieuws
image

Mozilla patcht privacy-lek in Firefox

woensdag 31 maart 2010, 16:27 door Redactie, 5 reacties

Mozilla dicht binnenkort een oud privacy-lek in Firefox, waar ook andere browsers mee te maken hebben. "We zijn zeer opgewonden over deze oplossing, we hopen dat andere browsers zullen volgen." Het gaat om het beruchte CSS-lek, waardoor websites kunnen achterhalen welke websites bezoekers bezocht hebben. "Een lastig probleem om op te lossen", aldus Mozilla.

Opmaak
Een eenvoudige oplossing was het uitschakelen van verschillende linkstijlen voor bezochte en nog niet bezochte links, maar dat zou ten koste van de bruikbaarheid gaan, omdat gebruikers dan niet meer kunnen zien op welke links ze geklikt hebben. David Baron ontwikkelde een oplossing die de gegevens van gebruikers beschermt, zonder dat dit veel effect op het web heeft. Deze oplossing gaat Mozilla doorvoeren.

Dat betekent een beperking in de opmaak van bezochte en niet bezochte links. Alleen verschillende kleuren, voorgrond, achtergrond, outline, rand, SVG stroke en fill color worden toegestaan. Alle andere stijlaanpassingen zijn mogelijk om bezochte links te identificeren.

Aanval
Voor de meeste gebruikers zal de aanpassing onopgemerkt blijven, hoewel een aantal websites er mogelijk iets anders uitziet, zo waarschuwt Mozilla. Het gaat dan met name om de kleur van al bezochte links. In sommige gevallen kan dit ervoor zorgen dat de website misschien stuk lijkt. Vanwege de impact van de aanval is dit volgens Mozilla de juiste afweging om te maken. "We moeten realistisch blijven, er zijn veel manieren waarop browsers informatie over je lekken en het verhelpen van CSS history sniffing zal dit niet allemaal voorkomen."

Balans
Het is de opensource-ontwikkelaar voornamelijk om de ergste CSS-aanvallen te doen. Wie zich over de rest zorgen maakt, moet upgraden naar Firefox 3.5 of 3.6. Daarin bestaat de optie om "visited styling" uit te schakelen, waardoor ook de aanval niet meer werkt. "Privacy is geen feature die je eenvoudig aan een browser kunt toevoegen, en vaak gaat het ten koste van gebruik. We denken nu een oplossing te hebben gevonden voor webontwikkelaars die ook een veiligere ervaring voor gebruikers op het web biedt."

Reacties (5)
31-03-2010, 17:35 door Anoniem
Hup firefox
31-03-2010, 20:29 door Anoniem
Firefox owned gewoon alle andere browsers

Vooral chrome, wie gebruikt dat nou, haha
01-04-2010, 00:58 door Rene V
Wie zich over de rest zorgen maakt, moet upgraden naar Firefox 3.5 of 3.6. Daarin bestaat de optie om "visited styling" uit te schakelen, waardoor ook de aanval niet meer werkt.

Ik gebruik FF 3.6.2, maar ik kan die optie toch echt nergens vinden. Iemand die dit wel weet?
01-04-2010, 02:41 door [Account Verwijderd]
Door René V: Ik gebruik FF 3.6.2, maar ik kan die optie toch echt nergens vinden. Iemand die dit wel weet?

"If the remaining attacks worry you, or you can’t wait for us to ship this fix, version 3.5 and newer versions of Firefox already allow you to disable all visited styling (immediately stops this attack) by setting the layout.css.visited_links_enabled option in about:config to false. While this will plug the history leak, you’ll no longer see any visited styling anywhere."

http://blog.mozilla.com/security/
01-04-2010, 08:57 door Anoniem
Alleen verschillende kleuren, voorgrond, achtergrond, outline, rand, SVG stroke en fill color worden toegestaan.

Wat heeft dat nu voor een zin? Ook color wordt gebruikt als identificatiemiddel, zie als PoC http://ha.ckers.org/weird/CSS-history-hack.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search