Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten.
Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd.
In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt.
Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert.
Deze posting is gelocked. Reageren is niet meer mogelijk.