Nieuws
image

Porno-knop beschermt IE tegen cookiemonsters

maandag 30 mei 2011, 12:21 door Redactie, 4 reacties

Internet Explorer-gebruikers die zich tegen het nieuwe cookie-lek willen beschermen, moeten de zogeheten 'pornoknop' gebruiken. Dat zegt Microsoft in een verklaring op een onthulling tijdens de hackerconferentie Hack in the Box Amsterdam. Daar liet onderzoeker Rosario Valotta zien hoe hij toegang tot Facebook, Twitter, Gmail en andere accounts via een nieuw lek in IE kan krijgen.

Volgens Microsoft zijn er nog geen gevallen bekend waarbij aanvallers het nieuwe lek in het 'wild' misbruiken. "Cookiejacking is een variant van een industriebreed probleem genaamd clickjacking", laat Brandon LeBlanc weten. De softwaregigant zegt dat het het probleem serieus neemt en aan een update werkt.

Pornoknop
"Maar we willen dit specifieke probleem ook in context plaatsen", gaat LeBlanc verder. Slachtoffers moeten acties met kwaadaardige content op een website uitvoeren voordat een derde partij de cookies kan stelen waarop de gebruiker is ingelogd. In afwachting op de update, kunnen gebruikers zich via InPrivate Browsing beschermen. Deze optie, ook omschreven als pornoknop omdat het geen surfgeschiedenis opslaat, voorkomt dat cookies van een eerdere sessie worden bewaard. "Wat betekent dat ze niet kwetsbaar voor cookiejacking zijn, zelfs in de eerdere omschreven situatie."

LeBlanc benadrukt dat het hier niet om een beveiligingslek gaat, maar om een vorm van social engineering. "En dit soort dreigingen blijven altijd een zorg voor internetgebruikers op alle browsers. Softwarelekken zijn niet nodig voor dit soort dreigingen om succesvol te zijn."

Reacties (4)
30-05-2011, 12:47 door Spiff has left the building
Door Redactie:
LeBlanc:
Slachtoffers moeten acties met kwaadaardige content op een website uitvoeren voordat een derde partij de cookies kan stelen waarop de gebruiker is ingelogd. In afwachting op de update, kunnen gebruikers zich via InPrivate Browsing beschermen. Deze optie, ook omschreven als pornoknop omdat het geen surfgeschiedenis opslaat, voorkomt dat cookies van een eerdere sessie worden bewaard. "Wat betekent dat ze niet kwetsbaar voor cookiejacking zijn, zelfs in de eerdere omschreven situatie."
Ik denk dat het nodig is hierbij een kanttekening te plaatsen.

Bij het gebruik van InPrivate browsing worden, als ik me niet vergis, cookies wel degelijk opgeslagen (want anders is bijvoorbeeld inloggen op websites onmogelijk), maar worden die cookies bij het afsluiten van de browser-sessie verwijderd. Hierin verschilt dit niets van een browser-voorkeurinstelling waarbij onder opties is ingesteld dat de browsegeschiedenis moet worden verwijderd bij het afsluiten van de browser-sessie.
Zolang de InPrivate sessie nog niet is afgesloten (of een reguliere browser-sessie met instelling dat de browsegeschiedenis moet worden verwijderd bij het afsluiten van de browser-sessie), zijn cookies zoals inlog-cookies nog opgeslagen, nog niet verwijderd, en in principe gevoelig voor die beschreven kwetsbaarheid.
30-05-2011, 16:43 door Anoniem
Heee"? NUL????
W\at nou pornoknopp? Pibncode om je gehuurde videorecorder te starten? ROT OP!!!
30-05-2011, 20:08 door Anoniem
Hoofdletters en dan nog uitroeptekens. Je bent wel hard aan het schreeuwen.
31-05-2011, 09:38 door Mysterio
Door Anoniem: Hoofdletters en dan nog uitroeptekens. Je bent wel hard aan het schreeuwen.
Hormonen, een zwaar weekend, iets te veel kleurstofjes en dan problemen met je videorecorder. Ja, ik zou er ook buikkramp van krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure