Favicon-bug laat Chrome, Firefox en Safari crashen
Een bug in de manier waarop Google Chrome, Mozilla Firefox en Apple Safari met de favicons van websites omgaan zorgt ervoor dat ze uiteindelijk kunnen crashen. Het probleem werd bij toeval ontdekt door security-analist Andrea De Pasquale. Hij had een favicon van 64MB groot gedownload dat een volledige back-up van een WordPress-website bleek te zijn.
Programmeur Benjamin Gruenbaum werkte het probleem verder uit tot een demonstratie op GitHub, die browsers zonder dat gebruikers dit doorhebben een grote favicon laat downloaden. Voor zijn eigen demonstratie creëerde Gruenbaum een favicon van bijna 10GB die uiteindelijk voor een crash op zijn Macbook zorgde, zo laat hij op Hacker News weten. De onopgemerkte downloads zouden vooral een probleem kunnen zijn voor mobiele gebruikers met een datalimiet. Gruenbaum waarschuwde vervolgens Mozilla en Google voor het probleem. De ontwikkelaars van Firefox kwamen in drie uur met een oplossing, die in de nieuwste versie van de browser aanwezig zal zijn. Het probleem speelt niet bij Internet Explorer.
Leuk binnen 3 uur code aanpassen als je de fout weet. Niet echt iets belangrijks. Dit deel lijkt niet op de fout/oonverwachte situatie getest en gecheckt te zijn. De belangrijke vraag is: wat is nog meer niet gecheckt getest en is fout en is gevaarlijk in bepaalde situaties.
Met 200/200 zit je wel in het boven segment, zeker gezien de gemiddelde bandbreedte in de wereld. Wist je dat het internet groter is dan alleen Nederland?
Lijkt dus sterk afhankelijk van de hoeveelheid adresseerbaar geheugen en hoewel niet heel erg gevaarlijk wel irritant.
Genoeg! "And only time will tell"
"Alle data op internet is onvertrouwd"
"Alle onvertrouwde data zijn eigen parser"
"Elke parser zijn eigen proces."
"Elk proces zijn eigen sandbox"
Verkeerde conclusie.
De favicons zijn verplaatst naar de tabs om phishing te voorkomen.
Phishing sites gebruik(t)en als fav een afbeelding van een slotje zodat de illusie werd gewekt een veilige verbinding te hebben.
Sommige extensies kunnen de oude, in principe onveilige situatie weer terugzetten, maar veranderen dan de
favicon parameters in about:config. Zet deze parameters weer op true (boolean) om de favs in de tabs te zien.
Daarna Firefox herstarten !
Als u CTR gebruikt dan hoeft u niet naar about:config maar kunt u daar de favs aan of uitzetten.
Daarna Firefox herstarten !
Sommige extended themes en extensies die met tabs werken kunnen ook problemen geven.
In het laatste geval is het ook bijna altijd een kwestie van (een van de vele opties) in de extensie.
Daarna Firefox herstarten !
Nog een advies aan u:
Kom NIET met (verkeerde) conclusies, maar kom met een vraag, als iets niet lijkt te werken,
liefst op het forum zodat meerdere mensen er iets aan hebben.
Zie je bij Security.nl pagina's een klein rood kettingplaatje in je tab?
Standaard setting in de about:config van Firefox is
Of is dat plaatje in de tab eigenlijk het Site-icon?
Als Firefox deze rule nog wel heeft maar het Favicon allang niet meer toont omdat het Favicon-icon ooit aan het begin nog voor "http".. in de urlbar kwam, een icon-plaatjesplek die tegenwoordig alleen nog voor groen (ev) grijze certificaatslotjes is gereserveerd,….
… bedoelt de ontdekker van de bug dan misschien eigenlijk het Site-icon in plaats van het genoemde Favicon?
Site-icon of Favicon?
That's the question..
Als je dit letterlijk in google had gezet dan had je niet op een antwoord hoeven wachten...
Zie je bij Security.nl pagina's een klein rood kettingplaatje in je tab?
Standaard setting in de about:config van Firefox is
Of is dat plaatje in de tab eigenlijk het Site-icon?
Als Firefox deze rule nog wel heeft maar het Favicon allang niet meer toont omdat het Favicon-icon ooit aan het begin nog voor "http".. in de urlbar kwam, een icon-plaatjesplek die tegenwoordig alleen nog voor groen (ev) grijze certificaatslotjes is gereserveerd,….
… bedoelt de ontdekker van de bug dan misschien eigenlijk het Site-icon in plaats van het genoemde Favicon?
Site-icon of Favicon?
That's the question..
Kun je opzoeken in: http://kb.mozillazine.org/About:config_entries#Browser
Je kunt ze het beste allebei op dezelfde stand zetten, dus naar wens of allebei "true"(default), of anders allebei "false".
That's the answer. ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
