Nieuws

"IE8 laat verwijderde cookies gewoon staan"

zaterdag 28 augustus 2010, 11:39 door Redactie, 13 reacties

Internet Explorer 8 verwijdert cookies niet meteen als gebruikers daartoe de opdracht geven, wat handig is voor adverteerders die gebruikers willen volgen. "Ik vertel mensen altijd om hetzelfde cookie niet meer dan één keer te plaatsen. Dat maakt het lastiger om te oude XMLHTTPRequest bugs te gebruiken om het cookie te downloaden. Maar wat als het cookie geen gevoelige gegevens bevat, maar gebruikt wordt voor tracking?", vraagt beveiligingsonderzoeker Robert 'Rsnake' Hansen zich af.

Tijdens testen ontdekte hij dat IE8 cookies pas verwijdert als de browser wordt afgesloten, ook al hebben gebruikers aangegeven dat ze opgeslagen cookies meteen willen verwijderen. "Als een site een unieke cookie plaatst en de gebruiker de cookies in IE8 verwijdert, betekent dat niet dat IE8 stopt met het versturen van de cookie, die nog in het geheugen staat, wat betekent dat de website die nog steeds ontvangt."

Monitoring
Als een website een gebruiker zou willen volgen, hoeven ze alleen precies hetzelfde HTTP cookie met een verloopdatum in de toekomst in te stellen, om ervoor te zorgen dat die nog aanwezig is als de browser wordt gesloten. Ook al denkt de gebruiker dat hij zijn cookies heeft verwijderd, was het cookie continu in IE8 aanwezig. "Kan handig zijn voor adverteerders of bedrijven die op grote schaal gebruikers willen monitoren", besluit Hansen.

Werkzoekenden slachtoffer identiteitsdiefstal

Firefox 4 bestrijdt MiTM-aanvallen met HSTS

Reacties (13)

28-08-2010, 12:09 door Anoniem

Alwéér een reden om die bagger niet te gebruiken.

28-08-2010, 13:48 door Anoniem

Dat is toch wel schandalig en een goeder reden om IE niet te gebruiken!

28-08-2010, 17:12 door Anoniem

Door Anoniem: Alwéér een reden om die bagger niet te gebruiken.

had je nog redenen nodig dan?

28-08-2010, 19:06 door Anoniem

Door Anoniem: Alwéér een reden om die bagger niet te gebruiken.

Is een prima browser, dat jij er niet gek op bent is geen reden om overal dat soort opmerkingen neer te plempen.

28-08-2010, 20:15 door Anoniem

"Hallo, ik ben Internet Explorer", volgens de reclame.
Alleen jammer dat de website wel weet wie je bent.

In windows 7 zit toch ook een partitie waarin allerlei user-data blijft staan? Leuk die microsoft producten voor de digitale recherche.

28-08-2010, 21:11 door Anoniem

workarround is wel heel makkelijk.... surf naar about:blank; dump koekjes, sluit ie en herstart.

29-08-2010, 16:20 door Anoniem

Niveau bla bla... 'documented feature' in IE8, staat letterlijk in de toelichting/helpfile dat je IE wel eerst moet sluiten voordat álles 'weg' is.

Notes
You should close Internet Explorer when you're done to clear cookies that are still in memory from your current browsing session. This is especially important when using a public computer.

Je kunt ook aanleiding zóeken om te zeiken.

zonnige dag verder!

29-08-2010, 16:24 door Anoniem

Is daar dan niet wat aan te doen door een gebruiker zelf? Dus ook als je goede cache clean software gebruikt als b.v
Window washer of Ccleaner blijven die cookies dan nog steeds bruikbaar?

29-08-2010, 21:44 door Anoniem

Internet Explorer is de beste browser die ooit uitgekomen is Anoniem. Mocht er IETS in een andere browser beter zijn dan zit de kans er dik in dat in de volgende versie van IE datgene ook geimplementeerd zit.

30-08-2010, 09:43 door Anoniem

Als een website een gebruiker zou willen volgen, hoeven ze alleen precies hetzelfde HTTP cookie met een verloopdatum in de toekomst in te stellen, om ervoor te zorgen dat die nog aanwezig is als de browser wordt gesloten.

Ik snapte dit niet helemaal, dus heb ik het origineel gelezen. Wat er wordt bedoeld is:

Als een website een gebruiker zou willen volgen, hoeven ze alleen steeds precies hetzelfde HTTP cookie met een verloopdatum in de toekomst blijven in te stellen, om ervoor te zorgen dat die nog aanwezig is als de browser wordt gesloten.

Het scenario is:

1) website zet tracking cookie
2) gebruiker merkt het cookie op, en verwijdert het
3) IE8 blijft het cookie in geheugen houden, en dus versturen
4) website leest cookie, en zet het opnieuw met een expire in de toekomst
5) IE8 slaat het cookie op op disk
6) goto 2) of 4)

Lullige bug van IE8.

30-08-2010, 10:36 door Anoniem

Daar gebruik je CCleaner toch voor ? Die maakt goed schoon .

30-08-2010, 15:08 door Anoniem

Tja of dagelijks even je map cookies legen en de map tijdelijke internet files.

01-09-2010, 09:18 door Oesi

"Anoniem" = MS medewerker? IE8 is slecht, punt. Er zijn gelukkig betere non-Microsoft producten.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer