image

Chrome gaat gebruikers tegen ongewenste redirects beschermen

donderdag 9 november 2017, 09:59 door Redactie, 4 reacties

Google gaat nieuwe beveiligingsmaatregelen aan Chrome toevoegen die gebruikers tegen ongewenste redirects moeten beschermen. Volgens de internetgigant komt het geregeld voor dat gebruikers onverwacht naar ongewenste content, zoals een nieuwe pagina, worden doorgestuurd.

Scammers maken hier bijvoorbeeld misbruik van om internetgebruikers naar websites te leiden die stellen dat hun computers is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem op te lossen. Google stelt dat deze redirects vaak van content van derde partijen afkomstig zijn en de eigenaar van de website hier helemaal niets van weet. Om dit probleem aan te pakken zal Chrome redirects afkomstig van third-party iframes gaan blokkeren. Gebruikers krijgen in dit geval een informatiebalk te zien. Alleen als de gebruiker zelfs met het frame bezig was wordt de redirect toegestaan.

Ongewenste redirects doen zich niet alleen spontaan via iframes voor. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Volgens Google wordt hiermee de pop-upblocker van Chrome omzeild. Daarom zal vanaf Chrome 65 ook dit gedrag worden geblokkeerd en er een informatiebalk verschijnen. Gebruikers kunnen zo ongestoord naar de bedoelde bestemming doorgaan.

Als laatste zijn er redirects die veel lastiger zijn te detecteren. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook deze redirects zullen vanaf januari door Chrome worden geblokkeerd. Google gaat eigenaren van websites daarnaast waarschuwen als dergelijke redirects op hun websites zijn aangetroffen, zodat er maatregelen genomen kunnen worden. Als de eigenaar niet in actie komt en het probleem 30 dagen ongemoeid laat zal Chrome het openen van nieuwe tabs en vensters blokkeren.

Image

Reacties (4)
09-11-2017, 11:41 door Anoniem
Even cross testen dan maar met http://www.isithacked.com/ en voor wat daar gemist wordt en verder bij voorbeeld https://quttera.com/ en hackertarget.com, https://mxtoolbox.com/ e.d.

Het zou ook leuk zijn als Google Chrome gebruikers gaat waarschuwen tegen bij voorbeeld "cloaking", daar waarbij websites iets anders als code tonen aan Googlebot dan aan Google Chrome,

Tevens iFrames als <iframe src="//www.googletagmanager.com/ns.html?id=GTM-M4FTC5" height="0" width="0" style="display:none;visibility:hidden"></iframe> zullen wel niet door deze beveiligingsmaatregel worden aangegeven,
omdat Google daar zelf code verbergt en dat als OK wordt bestempeld, wat het bij sommige verborgen iFrames niet altijd hoeft te zijn (0 0 0 ).

Google wordt dus steeds meer de slager, die de eigen worst gaat keuren. Voor de smeer likt immers de kat de kandeleer.
En iedereen op de Google bandwaggon gezeten, vindt het prachtig.

Men weet echter al lang, dat des te meer mono-cultuur er komt, des te meer onveiligheid zich daarop gaat of zal gaan richten. Goede actie van Google, maar we houden ze in de gaten. "Too big to fail" immers.

luntrus
09-11-2017, 14:10 door Anoniem
09-11-2017, 17:27 door Anoniem
Heel goede suggestie - draai uMatrix al geruime tijd sinds het verschijnen.
Een zeer zuiver naar behoefte af te stellen.

Helemaal volledig eens met de poster van 14.10, goede browser hygiëne begint bij jezelf.

Maar hierbij geholpen natuurlijk door de niet voor de verantwoording weglopende website ontwerper, web admin en hoster.

Zij zijn het, die oude, kwetsbare en verlaten code op tijd weet af te voeren, die instellingen en configuraties op webserver software, naamserver en op de website CMS juist hebben afgesteld en van de nodige input output validatie heeft voorzien (nonces, pins, sri hashes), de juiste security headers heeft geïmplementeerd, certificaten goed ingesteld, de nieuwste best practices voor protocols toegepast, kortom ervoor gezorgd heeft dat de website bezoekers hier geen kopzorgen over hoeven te hebben en in vol vertrouwen de website kunnen bezoeken en gebruiken.

Kijk eens bij voorbeeld voor een bepaalde site via scans als: https://observatory.mozilla.org/ & https://privacyscore.org/ & retire.insecurity.today/# & cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp in hoeverre hen dat is gelukt.
11-11-2017, 10:27 door Anoniem
Chrome en privacy. Haar eersr maar de unieke code functie uit de installer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.