Nieuws

Firefox maakt einde aan misbruik van window.name door online trackers

dinsdag 20 april 2021, 10:19 door Redactie, 10 reacties

Mozilla heeft een nieuwe beveiligingsmaatregel aan Firefox toegevoegd die gebruikers moet beschermen tegen misbruik van window.name door online trackers. De window.name eigenschap wordt door websites gebruikt om de naam van een venster in te stellen. Dit maakt het mogelijk voor hyperlinks of formulieren om naar het betreffende venster te navigeren.

De window.name eigenschap, die voor elke door de gebruiker bezochte website toegankelijk is, fungeert als een "bucket" voor de opslag van elke willekeurige data die een website daar besluit te plaatsen. Browsers maken gebruik van de same-origin policy om te voorkomen dat bepaalde data tussen websites kan worden uitgewisseld. Deze maatregel geldt echt niet voor window.name.

Dit zorgt ervoor dat het mogelijk is voor websites om data die in window.name is opgeslagen te benaderen, ook al is die daar door een andere website geplaatst. Wanneer een website het e-mailadres van de gebruiker in window.name opslaat, blijft deze informatie aanwezig wanneer de gebruiker via een link een andere website bezoekt. Deze website kan de informatie in window.name ook uitlezen zonder dat gebruikers dit weten of hiervoor toestemming hebben gegeven.

Volgens Mozilla maken trackingbedrijven misbruik van window.name om informatie over de gebruiker te lekken. "Het is in feite een communicatiekanaal geworden voor het uitwisselen van data tussen websites", zegt Tim huang van Mozilla. Ook maken malafide websites misbruik van de eigenschap om privégegevens te verzamelen die onbedoeld door een andere website zijn gelekt.

Om dergelijke privacylekken te voorkomen wist Firefox nu de window.name eigenschap wanneer er een andere website wordt bezocht. Safari past deze methode inmiddels ook toe en op Chromium-gebaseerde browsers zijn dit van plan om te implementeren. De maatregel is doorgevoerd in Firefox 88 die nu beschikbaar is.

Beveiligingslek in smart airfryer maakt remote code execution mogelijk

Agentschap Telecom start onderzoek naar veiligheidsmaatregelen KPN

Reacties (10)

20-04-2021, 10:46 door Anoniem

Was het dan echt na al die jaren te complex??? Dan noemen ze dit een privacy vriendelijke browser. -_-

20-04-2021, 10:55 door Anoniem

Mooie omschrijving voor een security bug

20-04-2021, 12:28 door Anoniem

Als ik dit lees, en ook het artikel over FLoC, vind ik het in en in triest dat zo een beetje ieder individu op aarde is
te traceren via zoiets simpels als een browser.

Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.

Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.

Gewoon triest.

20-04-2021, 13:49 door Anoniem

Door Anoniem: Als ik dit lees, en ook het artikel over FLoC, vind ik het in en in triest dat zo een beetje ieder individu op aarde is
te traceren via zoiets simpels als een browser.

Een browser is in de verste verte niet simpel, het is uiterst complexe software. Dat de gebruikersinterface simpel is wil helemaal niet zeggen dat wat er aan verwerking gedaan moet worden om een webpagina te tonen op basis van alle samenstellende delen ook simpel is. Het is die complexiteit "onder de motorkap" die maakt dat zelfs een softwarereus als Microsoft gestopt is met een eigen browser-"engine" te maken en zich tegenwoordig op Chrome baseert. En het is die complexiteit die maakt dat er vreselijk veel details en wisselwerkingen tussen die details zijn waar een browsermaker rekening mee moet houden om de zaak waterdicht te krijgen.

20-04-2021, 14:13 door Anoniem

Door Anoniem: Als ik dit lees, en ook het artikel over FLoC, vind ik het in en in triest dat zo een beetje ieder individu op aarde is
te traceren via zoiets simpels als een browser.

Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.

Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.

Gewoon triest.

Daarom gaat een browser op mijn pc al enkele jaren niet meer unsandboxed het internet op. Muv updates, tweaks e.d. En uiteraard zijn ook mijn wachtwoorden niet in de browsers opgeslagen. Iedere sessie dus een verse installatie, maar dan met tweaks.
Gebruik Sandboxie voor Windows en Firejail voor Linux. De moeite meer dan waard voor de nog immer meest kwetsbare apps die browsers zijn.
Beschouw

20-04-2021, 14:30 door [Account Verwijderd]

Door Anoniem: Was het dan echt na al die jaren te complex??? Dan noemen ze dit een privacy vriendelijke browser. -_-

Als het vóór al die jaren niet complex was waarom heeft de wereld dan zo lang moeten wachten op jouw mondiale uitrol van een mitigatie van deze kwetsbaarheid in Firefox??

20-04-2021, 15:35 door Anoniem

Door Anoniem: Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.

Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.

21-04-2021, 09:22 door Anoniem

Door Anoniem: Was het dan echt na al die jaren te complex??? Dan noemen ze dit een privacy vriendelijke browser. -_-

Window.name is gewoon een specificatie in javascript. In principe voldoet elke browser daar aan. Het feit dat er onlangs misbruik is waargenomen van deze feature en dat Moz://a daar een stolkje voor steekt is alleen maar goed toch?

Wat privacy betreft zit je met Firefox ver uit het best in vergelijking met alle op chromium of chrome gebaseerde browsers (en dat zijn ze vrijwel allemaal!).

21-04-2021, 12:15 door Anoniem

Door Anoniem:
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
Gewoon triest.

Verwijderen heeft wel zin, want dan wordt de cookie in ieder geval steeds gereset, en wordt er daar niets in de loop van de tijd verzameld.

21-04-2021, 21:09 door Anoniem

Door Anoniem:

Door Anoniem: Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.

Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.

Dat is ook vrij eenvoudig in te stellen bij de gewone Firefox.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer