Nieuws

Hacker: eeuwige cookies zijn beveiligingsrisico

donderdag 9 september 2010, 17:22 door Redactie, 6 reacties

Sommige cookies hebben een eeuwige levensduur, wat handig voor advertentiebedrijven is, maar een serieus beveiligingsrisico kan vormen. Dat zegt Robert 'Rsnake' Hansen. "Ik vind het concept van persistente cookies verschrikkelijk. Als ik wil dat iets zou blijven, zou ik geen sandboxes gebruiken en op agressieve wijze mijn cookies handmatig verwijderen."

Hansen beschrijft een scenario waarbij gebruikers op een pornosite zitten die de browser dwingt om MySpace en Facebook te bezoeken. "Omdat je waarschijnlijk bent ingelogd, word je via CSRF, clickjacking of wat dan ook gecompromitteerd." De tweede mogelijke aanval is als de aanvaller weet dat de gebruiker is ingelogd. In dit geval vallen ze de gebruiker aan via het platform waarvan de aanvaller de inloggegevens wil hebben.

Mechanisme
De tweede aanval is lastig te voorkomen merkt Hansen op, maar de eerste aanval is voornamelijk toe te schrijven aan de levensduur van cookies. "Waarom moet een browser een cookie bewaren alleen omdat een website het dit vertelt?"

De onderzoeker erkent dat sommige gebruikers niet elke dag hun webmail wachtwoord willen invoeren, maar dat dit voor security-bewuste gebruikers anders is. "We moeten dus een standaard mechanisme overwegen voor de timing van cookies als ze niet actief naar een server worden gestuurd, ongeacht wat de server wil."

CG-Raad: laat hackers EPD kraken

Porno-Trojan infecteert Android smartphones

Reacties (6)

09-09-2010, 18:57 door Anoniem

gewoon een mechanisme ontwikkelen,dat nadat je een server hebt bezocht,en van die bezochte site weggaat,dat het cookie meteen verwijderd wordt,dat is toch mogelijk?.

09-09-2010, 19:00 door Anoniem

Ik zou zeggen geef maar goede tips en software adviesen hoe het beste cookies te verwijderen?
Ik zelf gebruik window washer die alles 13x overschrijft en ik verwijder regelmatig flashcookies
http://www.inbeeweb.nl/site/nieuws/page30.htm via deze website kun je uitvinden hoe!
Plus ik laat IE8 geen dagen cache of cookies bewaren ,maar nou las ik laatst bij jullie hier op de site dat IE8 die cookies helemaal niet gelijk verwijderd dus daar was ik dan wel weer verbaasd over dus misschien kan iemand daar ook een tip voor geven?

10-09-2010, 11:25 door Roadmaster

Door Anoniem: Ik zou zeggen geef maar goede tips en software adviesen hoe het beste cookies te verwijderen?
Plus ik laat IE8 geen dagen cache of cookies bewaren dus misschien kan iemand daar ook een tip voor geven?

Firefox gebruiken, instellen dat cookies bij het afsluiten verwijderd moeten worden en af en toe handmatig controleren. De Add-on Better Privacy installeren en ook af en toe handmatig controleren.

10-09-2010, 13:52 door Anoniem

Door Roadmaster:

Firefox gebruiken, instellen dat cookies bij het afsluiten verwijderd moeten worden en af en toe handmatig controleren. De Add-on Better Privacy installeren en ook af en toe handmatig controleren.

IE8 verwijderd cookies ook bij het afsluiten..
..en natuurlijk ook InPrivate browsing inschakelen..

10-09-2010, 15:05 door Anoniem

IE8 verwijderd cookies ook bij het afsluiten..
..en natuurlijk ook InPrivate browsing inschakelen..

Dat deed ik dus, en toen ik handmatig controleerde, nadat ik mijn browser had afgesloten. Stonden er nog veel cookies in de folder. Die na een systeem herstart er nog stonden.Darom gebruik ik ook de ccleaner, die bij opstart van windhoos, automaties alle cookies kan wissen.

Voor firefox sluit ik me aan bij Roadmaster, Vooral de Better Privacy addon is handig, omdat die de flashcookies wist. Waardoor je voorkomt, dat aan de hand van flashcookies gewone cookies kunnen worden terug gezet.
En wat ook heel goed werkt is regelmatig je browser herstarten. Omdat pas bij afsluiten van je browser, de cookies worden gewist.

13-09-2010, 15:39 door Anoniem

Firefox heeft al sinds versie 0.8 uit 2003 de mogelijkheid om de leeftijd van cookies zelf in te stellen. Zet network.cookie.lifetimePolicy op 1, 2 of 3 afhankelijk van wat je wilt bereiken.

Zie ook:
http://kb.mozillazine.org/Network.cookie.lifetimePolicy
http://mozilla.gunnars.net/firefox_help_firefox_cookie_tutorial.html

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer