Internet Explorer 8 verwijdert cookies niet meteen als gebruikers daartoe de opdracht geven, wat handig is voor adverteerders die gebruikers willen volgen. "Ik vertel mensen altijd om hetzelfde cookie niet meer dan één keer te plaatsen. Dat maakt het lastiger om te oude XMLHTTPRequest bugs te gebruiken om het cookie te downloaden. Maar wat als het cookie geen gevoelige gegevens bevat, maar gebruikt wordt voor tracking?", vraagt beveiligingsonderzoeker Robert 'Rsnake' Hansen zich af.
Tijdens testen ontdekte hij dat IE8 cookies pas verwijdert als de browser wordt afgesloten, ook al hebben gebruikers aangegeven dat ze opgeslagen cookies meteen willen verwijderen. "Als een site een unieke cookie plaatst en de gebruiker de cookies in IE8 verwijdert, betekent dat niet dat IE8 stopt met het versturen van de cookie, die nog in het geheugen staat, wat betekent dat de website die nog steeds ontvangt."
Monitoring
Als een website een gebruiker zou willen volgen, hoeven ze alleen precies hetzelfde HTTP cookie met een verloopdatum in de toekomst in te stellen, om ervoor te zorgen dat die nog aanwezig is als de browser wordt gesloten. Ook al denkt de gebruiker dat hij zijn cookies heeft verwijderd, was het cookie continu in IE8 aanwezig. "Kan handig zijn voor adverteerders of bedrijven die op grote schaal gebruikers willen monitoren", besluit Hansen.
Deze posting is gelocked. Reageren is niet meer mogelijk.