Chrome, IE en Firefox lekken weer surfgeschiedenis
Een beveiligingsonderzoeker heeft een probleem in Chrome. Firefox en Internet Explorer ontdekt waardoor het weer mogelijk is voor websites om de surfgeschiedenis van bezoekers te achterhalen. Een probleem waarmee de browsers in het verleden ook al meerdere malen mee te maken kregen.
Het nieuwste probleem werd door Aäron Thijs ontdekt, student aan de Belgische Universiteit Hasselt. De aanval die Thijs ontwikkelde is gebaseerd op onderzoek van collega-onderzoeker Paul Stone, die zijn werk vorig jaar al presenteerde. De aanval van Thijs maakt gebruik van een programmeerinterface genaamd requestAnimationFrame. Deze interface is eigenlijk ontwikkeld om animaties soepeler af te spelen.
Het kan echter ook worden gebruikt om te bepalen hoe lang een browser doet over het weergeven van een bepaalde website. Door verschillen te meten in de tijd die een browser nodig heeft om een bepaalde link weer te geven, kan een aanvaller bepalen of een specifieke website al eens is bezocht.
Websites
Voor zijn demonstratie keek Thijs alleen of mensen Facebook hadden bezocht. "Het kan echter ook worden gebruikt om op een groot aantal websites te controleren. Als het script op een website wordt ingebed die iemand bezoekt, kan het stilletjes in de achtergrond draaien en de resultaten terug naar de aanvaller sturen", zo laat de student tegenover Ars Technica weten. Mozilla zou volgens Thijs aan een update werken.
Een bericht op het Microsoft forum waar de student het probleem dit weekend kenbaar maakte werd op privé gezet, maar is nog wel via de cache van Google te vinden. Het probleem zou inmiddels ook door de ontwikkelaars van Chrome worden besproken. Gebruikers die zich tegen de aanval willen beschermen krijgen het advies om regelmatig hun geschiedenis te verwijderen of de browser zo in stellen dat er helemaal niets wordt opgeslagen.
Niets opslaan is nog een relatief begrip.
In het geval van Firefox is zelfs de keuze voor de browsing modus "Private Browsing" dan niet genoeg.
Wil je dat Firefox niets (of in ieder geval minder) onthoudt zal je in de "Private Browsing" modus daarnaast elke nieuwe link moeten openen in een nieuw window, in plaats dus van 'gewoon' op een link te klikken of links te openen in tabs in het zelfde window.
Want :
- Met gewoon klikken kan je terug navigeren (menu balk pijltje), wat inhoudt dat bezochte links (nog ergens) worden onthouden.
- Met "Tabbed Browsing" is de onthouden geschiedenis zelfs zichtbaar en opvraagbaar onder het menu "History" > "Recently Closed Tabs".
Met het openen van links in een nieuw window is in ieder geval niet meer via de menu opties de historie te bezoeken, die blijven dan allemaal blanco.
Ben je er dan? :
Misschien wel, misschien ook niet want hoe zit het bijvoorbeeld met de "Visited Links" historie die je browser kan bewaren?
Het aloude probleem van CSS history sniffing, het uitlezen van bezochte links, schijnt lang geleden al opgelost te zijn; het door de browser onthouden van bezochte links op kleurcode.
Een bezochte link geeft dan bijvoorbeeld de kleur paars in plaats van de blauwe 'nog niet bezochte link' kleur.
Mocht je browser die verschillen nog wel weergeven dan mag je denk ik er van uitgaan dat je browser een dergelijke historie tijdens je browser sessie nog bewaart.
En als het er is kan het misschien een keer weer misbruikt gaan worden door een nieuwe slimme ontdekking.
Voor een redelijke tussenweg gekozen (Firefox):
- Je browser zo instellen dat het de gehele historie wist wanneer je de browser(sessie) afsluit, onder privacy voorkeuren
"Use custom settings for history" > "Settings"
Met alle velden aanvinken en de optie "Clear history when Firefox closes" wordt ook 'alles' gewist bij het afsluiten van je browser.
- Cookies weigeren van "Third-party sites" kan zeker ook geen kwaad voor je privacy tijdens de browsersessie.
- Daarnaast kan je nog kiezen voor aanpassing in de suggesties van je "Location Bar"; "When using the location bar, suggest:" "Nothing" , of alleen "Bookmarks" , maar in ieder geval geen "History" (!).
Aanpassingen in de dieper gelegen browser voorkeuren, de "About:Config"
- Je 'referrer' (in Firefox referer) informatie uitschakelen.
Dus je browser aan een website standaard niet meer laten vertellen waar je vandaan kwam.
Firefox; type about:config in je urlbar
verander de waarden onder de volgende strings, dubbelklikken op de regel :
network.http.sendSecureXSiteReferrer;false
Link prefetching :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefetching_FAQ#What_is_link_prefetching.3F
Uitzetten :
network.prefetch-next;false
CSS historie :
En de kleurtjes van de bezochte links natuurlijk!
Verschil is er overigens niet onder "Private Browsing"
Standaard uitzetten kan :
Verder valt er nog veel meer in de about:config aan te passen als het om privacy gaat, dat laat ik even voor nu.
(Opmerkingen gelden voor Firefox ESR 24.5.0 ('Firefox Classic Look' ;-) Long Term Support / Extended Support versie), mogelijke verschillen met nieuwe versie 29 even voorbehouden, check het zelf)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
