Edge-lek maakt diefstal opgeslagen wachtwoorden mogelijk
Een beveiligingslek in Microsoft Edge maakt het voor kwaadaardige websites mogelijk om Facebook-, Twitter- en andere in de browser opgeslagen wachtwoorden te stelen, alsmede cookiegegevens, zo heeft de Argentijnse beveiligingsonderzoeker Manuel Caballero gedemonstreerd.
De Same Origin Policy (SOP) moet voorkomen dat een geopende website informatie van andere domeinen kan benaderen. Caballero slaagde er echter in om deze beveiligingsmaatregel binnen Edge te omzeilen. Daardoor is het voor een kwaadaardige website mogelijk om een wachtwoordformulier op een ander domein te injecteren. De Edge-wachtwoordmanager zal vervolgens via autocomplete automatisch de inloggegevens voor dit domein invoeren. De kwaadaardige website krijgt zo de inloggegevens in handen.
Voorwaarde is wel dat een gebruiker Edge gebruikt en zijn wachtwoorden via de wachtwoordmanager van de browser heeft opgeslagen. Ook is het mogelijk om via de aanval cookiegegevens te stelen, zoals Caballero in een video en speciaal gemaakte website demonstreert. "Microsoft Edge maakt grote vorderingen als het om geheugencorruptie en sandboxing gaat, maar basale ontwerpproblemen zijn nog steeds aanwezig", aldus de onderzoeker. Hij heeft Microsoft niet van tevoren over de publicatie en kwetsbaarheid ingelicht, wat inhoudt dat Edge-gebruikers nog steeds kwetsbaar zijn.
Gebruik gewoon Google Chrome!
Leer mensen, om wachtwoorden niet in de browser te bewaren
Leer mensen, om de autofill functie uit te schakelen, indien mogelijk
Leer mensen, om te kijken voordat ze gebruikersnamen en wachtwoorden invullen
Dat zijn mogelijkheden die altijd veilig zijn, ongeacht welke browser iemand gebruikt, en dus de voorkeur moeten hebben.
Daarnaast heeft edge ook een optie om alle gegevens te laten verwijderen als je de browser afsluit! Dat is super veilig als je dan toch gehackt wordt, dan kan er niks gestolen worden!
Als je tablet met windows gebruikt, gewoon edge blijven gebruiken, super handig en veilig genoeg als je alle gegevens automatisch laat wissen bij het afsluiten.
Gebruik gewoon Google Chrome!
Wie gebruikt nou Windows, wie gebruikt nou MacOS, wie gebruikt nou Intel processoren .....
Dus.
Gebruik gewoon Google Chrome!
Wie gebruikt nou Windows, wie gebruikt nou MacOS, wie gebruikt nou Intel processoren .....
Dus.
Jij slaat precies de spijker op z'n kop!
Iedereen heeft zijn eigen idee over dit soort zaken. Ik zelf gebruik firefox en vind Chrome zeker spyware. Google weet alles (VAN JE).
Gebruik gewoon Google Chrome!
Gebruik gewoon Google Chrome!
Maar het blijft een goed advies: opslaan van wachtwoorden in de browser (welk merk of welk OS dan ook) is een gemaksfunctie.
De gebruiker slaat het wachtwoord op in de eigen beveiligingscontext. Dat betekent dat elke willekeurig procesje/scriptje in diezelfde context bij die wachtwoorden *moet* kunnen komen. Dat is geen vermoeden of idee, maar een technisch feit. En het is de reden waarom in elke serieuze bedrijfsomgeving wordt gebruikers afgeraden om wachtwoorden in de browser op te slaan.
Gebruik gewoon Google Chrome!
Wie gebruikt nou Windows, wie gebruikt nou MacOS, wie gebruikt nou Intel processoren .....
Dus.
Wie gebruikt er nou een computer of dergelijk apparaat :^)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
