Computerbeveiliging - Hoe je bad guys buiten de deur houdt

www snelkoppelingen. Een risico?

05-01-2020, 14:27 door [Account Verwijderd], 23 reacties
Zomaar kwam ik vorige week op het idee internet snelkoppelingen op het bureaublad te plaatsen, maar ik veronderstel nu dat dit een veiligheidsrisico kan zijn.

Uitgangspunt: De browser is nog niet actief.

De snelkoppeling zoekt namelijk meteen verbinding na starten van de browser, voordat extensies - ervan uitgaande dat je deze hebt geïnstalleerd - actief worden; extensies zoals b.v. Noscript, uBlock-Origin of uMatrix.

Ik denk dat dit zo is naar aanleiding van een voorbeeld:
T.b.v. mijn werk heb ik een Gmail account, alleen in gebruik voor toezending na aanvraag van documentatie her en der, en daarbij viel mij op dat als ik Gmail middels zijn snelkoppeling open eerst zijn inlogpagina gaat laden volledig gedekt door scripts, waarna al heel snel uMatrix ingrijpt. De pagina ververst dan in de mij bekende layout.

Is het een veiligheidsrisico internetsnelkoppelingen (nog) te gebruiken of is dit te ver gezocht door mij?
Reacties (23)
05-01-2020, 14:49 door Anoniem
Om te beginnen: noem bij dit soort vragen even expliciet over welke browser je het hebt.

Ik heb geen Windows en ik gebruik Firefox, met o.a. uMatrix. Als ik de browser afsluit en vanaf de commandline opstart met een URL als argument, dan wordt die website geopend zonder dat er dingen die ik blokkeer worden uitgevoerd (wat zich bijvoorbeeld uit in het niet verschijnen van een cookiewall - en ik weet zeker dat cookies bij mij geen herstart van de browser overleven, zelfs niet het afsluiten van een tab). Ik vermoed dat het opstarten van een browser via een www-snelkoppeling ook tot een URL op de commandoregel leidt, maar dat weet ik niet zeker. Je zou kunnen proberen hoe dat zich gedraagt. Als het op die manier wel goed gaat kan je je internetsnelkoppelingen vervangen door snelkoppelingen naar je webbrowser en in de snelkoppeling zelf de URL als argument voor de browser toevoegen.

Maar los van mogelijke workarounds, als een website geladen wordt voor de add-ons actief zijn en dingen laadt/uitvoert die geblokkeerd hadden moeten worden dan lijkt mij dat een bug, en bugs kan je melden bij de maker van je browser.
05-01-2020, 15:01 door Anoniem
Dat lijkt me een bug in je browser, ik zou deze aanmelden zodat men dit kan fixen.
05-01-2020, 15:28 door Anoniem
"De snelkoppeling zoekt namelijk meteen verbinding na starten van de browser"

Is dat zo? Welke browser is dat, dan kun je het beste daar een security-bug inschieten. Dat hoort natuurlijk niet.
05-01-2020, 15:28 door Anoniem
@Phileas,

Bij Windows 10 helaas een risico zonder enhanced protection mode:
https://social.technet.microsoft.com/Forums/en-US/dc73eaa8-5c7e-4925-bff4-f9dc44a415a5/web-shortcuts-dont-open-from-desktop-since-anniversary-update-ie11
Zie ook: https://www.tenforums.com/tutorials/74358-create-desktop-shortcut-website-google-chrome.html

Check de geopende pagina ook via Ctrl+Shft+I en zie wat er werkt, alles naar ik hoop, ook extensies.

luntrus
05-01-2020, 15:29 door Anoniem
Dat kan nog steeds, niet waar? Dat was al in (windows) '98 een slecht idee, en vooral bedacht als excuus om internet exploder altijd actief te ("moeten") hebben en zo net te doen of het er niet uitgesloopt kon worden. Want als serieus feature had het niets om het lijf, dat straalde er aan alle kanten vanaf.

Je zegt het zelf al: Als het laden eerst gedaan zonder al die extensies en je vindt het niet veilig om zonder die extensies te laden dan is het dus niet veilig.

Dat is net zoiets als een heel dom ("feature"-)telefoontje dat ik bezit. Als je dat uitzet in vliegtuig modus, gaat het bij aanzetten eerst verbinding maken met de toren en dan vragen of dat mischien wel een goed idee was ("vliegtuigmodus stond aan, weer aanzetten?"). Dat zijn van die dingen, hee {soft,firm}wareschrijver, denk eens na.
05-01-2020, 16:32 door Anoniem
Je bedoelt een soort Browser <-> Addon race, waarbij de browser het altijd wint,
zodat de eerste seconden je geïnstalleerde addons die de veiligheid moeten opkrikken nog even worden genegeerd,
omdat ze nog bezig zijn met opstarten terwijl Firefox verder al draait?

Goed punt, want wat je in beeld ziet wekt soms wel die schijn. (het duurt enkele seconden voordat addon-iconen zich kleuren in hun ingestelde modus)

Ik heb de volgende proef gedaan: een homepage in de browser ingesteld waarvan ik het domein in een addon blokkeer.
Resultaat: hij wordt gewoon geblokkeerd.
Ik denk dat het niet veel anders is met een desktop weblink.
06-01-2020, 00:18 door Anoniem
Ja anders zou verschillende tracking belemmerd worden en dat willen de propriety code owners niet.

#sockpuppet
06-01-2020, 09:27 door Spiff has left the building
Door Philias, zo.05-01, 14:27 uur:
Zomaar kwam ik vorige week op het idee internet snelkoppelingen op het bureaublad te plaatsen, maar ik veronderstel nu dat dit een veiligheidsrisico kan zijn.
Uitgangspunt: De browser is nog niet actief.
De snelkoppeling zoekt namelijk meteen verbinding na starten van de browser, voordat extensies - ervan uitgaande dat je deze hebt geïnstalleerd - actief worden; extensies zoals b.v. Noscript, uBlock-Origin of uMatrix.
Naast wat al in de eerdere reacties is aangegeven,
zou je onzeker zijn over wat je aangaf, en een dergelijk eventueel(?) risico willen vermijden, dan zou je deze simpele workaround kunnen gebruiken: open eerst je browser en geef die een paar seconden om helemaal goed te starten, en open pas daarna snelkoppelingen, zodat die openen in de dan reeds actieve browser.
06-01-2020, 09:43 door Anoniem
Door Anoniem: Dat kan nog steeds, niet waar? Dat was al in (windows) '98 een slecht idee, en vooral bedacht als excuus om internet exploder altijd actief te ("moeten") hebben en zo net te doen of het er niet uitgesloopt kon worden. Want als serieus feature had het niets om het lijf, dat straalde er aan alle kanten vanaf.

Wat is dat nou weer voor kletsverhaal? Je kon altijd al snelkoppelingen maken naar pagina's geopend in
andere browsers hoor.
07-01-2020, 06:13 door iCQ at SPCL.tk - Bijgewerkt: 07-01-2020, 06:15
[Verwijderd door moderator]
07-01-2020, 07:56 door Tintin and Milou - Bijgewerkt: 07-01-2020, 07:56
Wat je zou kunnen proberen is de webbrowser opstarten icm de URL. Dit zou mogelijk het probleem kunnen oplossen.

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://www.security.nl
07-01-2020, 08:33 door [Account Verwijderd]
Door iCQ at SPCL.tk: Welk OS gebruikt u? QNX? Bel morgen je werkgever even dat hij er echt slim aan doet om PER DIRECT weg te gaan bij gmail.

Oh wacht geen reactie nog van topic starter? Dat gebeurd verdacht vaak hier! Lijkt wel of we kunstmatig bezig gehouden worden (nadruk op: lijkt).

Hier de TS:

Het is zeker netjes dat u schrijft: "Met de nadruk op lijkt" want ik was gisteren niet in de gelegenheid nog iets anders uit te proberen, gesuggereerd door reacties hier, maar dan weer met als handicap: restricties m.b.t. of ik dat kan/mag gezien vanuit gebruiker, (ik) en beheerder (ons ICT bedrijf) bevoegdheid/heden.

Oorzaak: Ik had een vrije dag van mijn werk. Daar doet zich dit namelijk voor.
Vandaag, dinsdag 7-01-2020, hoop ik er hier weer op in te kunnen gaan.
07-01-2020, 10:52 door Anoniem
Wil helemaal niet flauw doen maar kun je beter niet standaard een snelkoppeling op de bladwijzerbalk plaatsen?
Zie namelijk weinig tijdwinst met wat u doet.

Daarnaast is het wel een prima vraag.
07-01-2020, 11:44 door [Account Verwijderd] - Bijgewerkt: 07-01-2020, 11:46
Eindelijk kan ik wat informatie toevoegen.

De gebruikte browser is Firefox v71.0 (64bits) deze wordt ondersteund door Microsoft Server 2012 R2
In tegenstelling tot wat ik in mijn opneningspost schreef - excuses - het is niet uMatrix als extensie maar het betreft uBlock Origin en Noscript. Versies respectievelijk: 1.24.2 en 11.0.11

Ik zie het kort opflitsen van een door scripts ondersteunde Gmail pagina - ik vermoed zo'n 1/4 seconde - waarna Noscript de pagina herlaadt niet alleen gebeuren als ik de browser start m.b.v die bureaubladsnelkoppeling URL. Als Firefox actief is ook, maar slechts vaag en heel kort zie ik dan de door scripts ondersteunde inlogpagina waarschijnlijk omdat ik die heel goed ken omdat het wel voorkomt dat ik google moet toestaan voor andere webpagina's die voorheen zijn geladen en dan Gmail wil openen.

Ik heb ook getest met - hoe voor de hand liggend - Security.nl als bureabladstarter en deze URL start zonder eerst scripts te laden. Natuurlijk ...want die zijn er bijna niet. Als ik kijk in Noscript. zie ik alleen Google.analytics.

Ik ben geneigd, zoals in posts al wordt gesuggereerd/geanalyseerd, en dan aangevuld met mijn ervaring te stellen - zeker weten doe ik het dus niet! - dat Google héél véél op de achtergrond tracht te laden aan scripts omdat, indien gestart vanuit het niets, de extensie Noscript nog niet actief is, maar zelfs indien de browser actief is (nu personificeer ik het) Noscript als een gek moet werken om al die scripts tegen te houden. Dat kost milliseconden naargelang de procesoorsnelheid vermoed ik.
Daarom lijkt het mij een beveiligingsrisico in deze tijd waarin digitale bedreigingen een toenemende bron van zorg zijn, om nog een bureabladsnelkoppeling, of -starter te gebruiken omdat je het risico loopt in de milliseconden vooraf aan het initialiseren van scriptblockers toch een kwaadaardig srcipt te activeren, dat soms aan miliseconden genoeg heeft om zijn verderfelijke werk te doen(*)

(*)
Ik ben geen ICT specialist en kan niet controleren of dit allemaal klopt. Ik constateer slechts iets en hoop dat het waardig genoeg is om als wellicht een serieus beveiligingsrisico te zien en waar mogelijk te bestrijden. Daar worden we dan allemaal beter van.
07-01-2020, 12:20 door Anoniem
Door Anoniem: Wil helemaal niet flauw doen maar kun je beter niet standaard een snelkoppeling op de bladwijzerbalk plaatsen?
Zie namelijk weinig tijdwinst met wat u doet.

Daarnaast is het wel een prima vraag.


Wat is een bladwijzerbalk nou weer?

Je kunt alle snelkoppelingen gewoon opslaan in een tekstbestandje. Gewoon een lijstje met allemaal internetadressen. Dan verwijder je alle snelkoppelingen (niet meer nodig) en in het vervolg start je eerst de browser en vervolgens open je het tekstbestandje. Wel zo veilig. Kopiëren en plakken kan iedereen wel.
07-01-2020, 13:18 door Anoniem
Door Anoniem: Wat is een bladwijzerbalk nou weer?
Een balk met bladwijzers.

Je kunt alle snelkoppelingen gewoon opslaan in een tekstbestandje. Gewoon een lijstje met allemaal internetadressen. Dan verwijder je alle snelkoppelingen (niet meer nodig) en in het vervolg start je eerst de browser en vervolgens open je het tekstbestandje. Wel zo veilig. Kopiëren en plakken kan iedereen wel.
Ja, maar waarom zou dat veiliger zijn dan bladwijzers van dezelfde URLs?
07-01-2020, 13:49 door Anoniem
Door Philias: Eindelijk kan ik wat informatie toevoegen.

De gebruikte browser is Firefox v71.0 (64bits) deze wordt ondersteund door Microsoft Server 2012 R2
In tegenstelling tot wat ik in mijn opneningspost schreef - excuses - het is niet uMatrix als extensie maar het betreft uBlock Origin en Noscript. Versies respectievelijk: 1.24.2 en 11.0.11

Ik zie het kort opflitsen van een door scripts ondersteunde Gmail pagina - ik vermoed zo'n 1/4 seconde - waarna Noscript de pagina herlaadt niet alleen gebeuren als ik de browser start m.b.v die bureaubladsnelkoppeling URL. Als Firefox actief is ook, maar slechts vaag en heel kort zie ik dan de door scripts ondersteunde inlogpagina waarschijnlijk omdat ik die heel goed ken omdat het wel voorkomt dat ik google moet toestaan voor andere webpagina's die voorheen zijn geladen en dan Gmail wil openen.

Ok maar dat is dan een vette BUG in Firefox!
Ik zou het melden via het mechanisme wat daar voor is.
Of aan iemand anders hier overlaten als die genoeg gegevens heeft en het kan reproduceren.
Het zou zo moeten zijn dat de browser pas aan het openen van pagina's begint als alle extensies geinitialiseerd zijn,
of minstens zou daar een optie voor moeten zijn die default aan staat. Synchroon vs Asynchroon starten ofzo.
07-01-2020, 15:02 door Anoniem
Door Philias: Ik zie het kort opflitsen van een door scripts ondersteunde Gmail pagina - ik vermoed zo'n 1/4 seconde - waarna Noscript de pagina herlaadt niet alleen gebeuren als ik de browser start m.b.v die bureaubladsnelkoppeling URL. Als Firefox actief is ook, maar slechts vaag en heel kort zie ik dan de door scripts ondersteunde inlogpagina waarschijnlijk omdat ik die heel goed ken omdat het wel voorkomt dat ik google moet toestaan voor andere webpagina's die voorheen zijn geladen en dan Gmail wil openen.
Het wordt misschien wat technisch, maar ik heb het volgende gedaan in Firefox (71.0 op Linux) en dat kan je naspelen:

• Open een lege tab.
• Druk daar op F12. Dat opent hulpmiddelen voor ontwikkelaars in de onderste helft van het scherm.
• Klik daar in het menu boven de hulpmiddelen op "Netwerk".
• Rechtsboven zie je een paar aanvinkvakjes. Vink "Registraties aanhouden" aan. Dat stelt je in staat "redirects" te volgen (wat dat is wordt zo duidelijk).
• Typ nu in de adresbalk in: https://gmail.com/ en druk op ENTER.
• Je ziet een aantal regels verschijnen, die bij mij beginnen met:

301 GET
302 GET
302 GET
200 GET
200 GET

De getallen vooraan zijn HTTP-responsecodes. Daarvan zijn 301 en 302 twee varianten van de mededeling dat de browser de gevraagde pagina ergens anders op moet halen, een zogenaamde "redirect". De code 200 betekent dat de gevraagde pagina gevonden is en als onderdeel van de response wordt teruggegeven. Het eigenaardige is dat die twee keer voorkomt.

• Klik op de laatste regel (de 2e "200") en klik in boven de rechterhelft van de ontwikkelhulpmiddelen op "Antwoord". Je ziet een afbeelding van het aanlogscherm.
• Klik nu op de voorlaatste regel (de 1e "200") en dan verschijnt rechts geen afbeelding maar een rode balk met de tekst: "Antwoord is afgekapt". Als je daaronder "Voorbeeld" openklapt krijg je een berg HTML-code te zien, die kennelijk een onvolledige pagina vertegenwoordigt.

Ik heb (enigzins lastig om te doen) die volledige HTML gekopieerd en in een teksteditor geplakt, en daarin vervolgens gezocht naar het woordje "nojavascript", dat onderdeel is van de uiteindelijk getoonde pagina. Dat stond erin, en het relevante stukje HTML ziet er zo uit:

<noscript><meta http-equiv="refresh" content="0; url=https://accounts.google.com/ServiceLogin?continue=https%3A%2F%2Fmail.google.com%2Fmail%2F&amp;rip=1&amp;nojavascript=1&amp;service=mail&amp;rm=false&amp;ltmpl=default&amp;scc=1&amp;ss=1&amp;osid=1&amp;emr=1"><style nonce="PZj55uAHFbFKTLCS8paP5Q">body{opacity:0;}</style></noscript>

En dat geeft de verklaring van wat je ziet gebeuren. Het hele fragment staat tussen "<noscript>" en "</noscript>", wat betekent dat het een stukje HTML-code is dat alleen wordt geïnterpreteerd als JavaScript uitstaat. Wat erin staat is een tag die het equivalent van een HTTP-responscode bevat die hier "refresh" wordt genoemd, die overeenkomt met die 301- en 302-codes. Het is een opdracht om direct door te schakelen naar de URL die erin staat, een met "nojavascript=1".

Je krijgt inderdaad in een flits de aanlogpagina voor met JavaScript te zien, maar die wordt niet eens volledig opgebouwd omdat die opdracht erinzit om door te schakelen naar de aanlogpagina voor zonder JavaScript. En die doorverwijzing wordt gevolgd precies omdat JavaScript uitstaat. Dat betekent dat je add-ons al keurig actief zijn voordat de pagina geladen wordt.
07-01-2020, 15:12 door Anoniem
Ik weet niet 100% zeker of het echt zo is dat Firefox aanvankelijk even zonder addons werkt totdat ze zijn opgestart,
(wat je op het scherm ziet, zou bijv. ook voort kunnen komen uit html (dus geen scripts die NoScript blokkeert)?

Maar zo niet dan kan je proberen de "snelle acties" van Firefox te beteugelen voor zover dit nog niet zo in je browser is ingesteld. Informatie van Mozilla hierover:
https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections

En dan zou ik in elk geval eens de volgende instellingen in about:config uitproberen (om te beginnen allemaal tegelijk):
(en noteer voor de zekerheid de originele instellingen voor het geval het niet werkt, en je deze instellingen later terug wilt zetten naar hun oorspronkelijke waarde)

- network.prefetch-next --> false
- network.dns.disablePrefetch --> true
- network.http.speculative-parallel-limit --> 0
- blank page instellen als homepage
- media.peerconnection.enabled --> false
- network.tcp.tcp_fastopen_enable --> false

Mocht dit verbetering geven dan kun je vervolgens evt. proefondervindelijk vaststellen welke van deze instellingen nu eigenlijk het verschil maken.

Een alternatief is eerst Firefox opstarten, en als deze goed en wel is opgestart pas op de weblink klikken,
maar gebruiksvriendelijk is dit uiteraard niet)
08-01-2020, 15:02 door Anoniem
Even toelichten:
de reactie van Anoniem 15:02 was nog niet gemodereerd toen ik mijn bericht van 15:12 schreef.

Ik heb ook aan F12 gedacht, maar dan staat Firefox dus al opgestart klaar als je de internetsnelkoppeling aanklikt en dat is niet helemaal eerlijk. Want mocht er een soort van raceprobleem bestaan (waarbij de browser al zijn gang gaat voordat de addons goed en wel zijn opgestart) dan haal je dit dus niet met zekerheid eruit met zo'n F12 test.

(overigens zijn we het eens dat wat er in beeld verschijnt evt. gewoon html zou kunnen zijn)
08-01-2020, 16:16 door Anoniem
Door Anoniem: Even toelichten:
de reactie van Anoniem 15:02 was nog niet gemodereerd toen ik mijn bericht van 15:12 schreef.

Ik heb ook aan F12 gedacht, maar dan staat Firefox dus al opgestart klaar als je de internetsnelkoppeling aanklikt en dat is niet helemaal eerlijk. Want mocht er een soort van raceprobleem bestaan (waarbij de browser al zijn gang gaat voordat de addons goed en wel zijn opgestart) dan haal je dit dus niet met zekerheid eruit met zo'n F12 test.

(overigens zijn we het eens dat wat er in beeld verschijnt evt. gewoon html zou kunnen zijn)
Anoniem 15:02 hier.

Philias nam aan dat add-ons die JavaScript onderdrukken bij opstarten niet functioneren omdat de versie van de inlogpagina voor met JavaScript langsflitst. Dat blijkt ook te gebeuren als JavaScript geblokkeerd wordt, en zelfs omdat JavaScript geblokkeerd wordt.

Laat even doordringen wat dat impliceert: het doorschakelen is afhankelijk van het inactief zijn van JavaScript, dus als JavaScript op het moment suprême actief was geweest dan had die hele redirect niet plaatsgevonden, en dan had Philias het hele verschijnsel niet meegemaakt dat hem deed vermoeden dat add-ons nog niet actief waren. Maar het gebeurt wel, dus JavaScript moet geblokkeerd zijn op het moment van de redirect, en de add-on die dat blokkeert moet dus actief zijn.

De hele reden om aan te laat in werking tredende add-ons te denken is daarmee weggevallen.

Paradoxaal genoeg is een verschijnsel dat de indruk werkt dat iets niet werkt in dit geval het bewijs dat het wel werkt. Ik kan behoorlijk van dat soort schijnbare tegenstrijdigeden genieten ;-)

Philias, ik hoop dat je het allemaal kan volgen en dat je gerustgesteld bent over de veiligheid van het opstarten van de browser via snelkoppelingen.
08-01-2020, 18:55 door karma4
Door Anoniem:
Anoniem 15:02 hier.

Philias nam aan dat add-ons die JavaScript onderdrukken bij opstarten niet functioneren omdat de versie van de inlogpagina voor met JavaScript langsflitst. Dat blijkt ook te gebeuren als JavaScript geblokkeerd wordt, en zelfs omdat JavaScript geblokkeerd wordt.

Laat even doordringen wat dat impliceert: het doorschakelen is afhankelijk van het inactief zijn van JavaScript, dus als JavaScript op het moment suprême actief was geweest dan had die hele redirect niet plaatsgevonden, en dan had Philias het hele verschijnsel niet meegemaakt dat hem deed vermoeden dat add-ons nog niet actief waren. Maar het gebeurt wel, dus JavaScript moet geblokkeerd zijn op het moment van de redirect, en de add-on die dat blokkeert moet dus actief zijn.

De hele reden om aan te laat in werking tredende add-ons te denken is daarmee weggevallen.

Paradoxaal genoeg is een verschijnsel dat de indruk werkt dat iets niet werkt in dit geval het bewijs dat het wel werkt. Ik kan behoorlijk van dat soort schijnbare tegenstrijdigeden genieten ;-)

Philias, ik hoop dat je het allemaal kan volgen en dat je gerustgesteld bent over de veiligheid van het opstarten van de browser via snelkoppelingen.

Je hebt gelijk in redenering, niets mis mee.
Nu even terug naar de vraag:
Is het een veiligheidsrisico internetsnelkoppelingen (nog) te gebruiken of is dit te ver gezocht door mij?
De addons zullen helpen om wat rommel er buiten te houden. Een goede overwogen keuze.
Het zal niet veel helpen tegen echte opzettelijke aanvallen, als je daar bang voor bent moet je niet op de addons vertrouwen.
15-01-2020, 21:47 door Anoniem
Beste lezer,

Er is geen veiligheidsrisio als je een gmail snelkoppeling op je bureaublad hebt staan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.