Mozilla heeft een nieuwe beveiligingsmaatregel aan Firefox toegevoegd die gebruikers moet beschermen tegen misbruik van window.name door online trackers. De window.name eigenschap wordt door websites gebruikt om de naam van een venster in te stellen. Dit maakt het mogelijk voor hyperlinks of formulieren om naar het betreffende venster te navigeren.
De window.name eigenschap, die voor elke door de gebruiker bezochte website toegankelijk is, fungeert als een "bucket" voor de opslag van elke willekeurige data die een website daar besluit te plaatsen. Browsers maken gebruik van de same-origin policy om te voorkomen dat bepaalde data tussen websites kan worden uitgewisseld. Deze maatregel geldt echt niet voor window.name.
Dit zorgt ervoor dat het mogelijk is voor websites om data die in window.name is opgeslagen te benaderen, ook al is die daar door een andere website geplaatst. Wanneer een website het e-mailadres van de gebruiker in window.name opslaat, blijft deze informatie aanwezig wanneer de gebruiker via een link een andere website bezoekt. Deze website kan de informatie in window.name ook uitlezen zonder dat gebruikers dit weten of hiervoor toestemming hebben gegeven.
Volgens Mozilla maken trackingbedrijven misbruik van window.name om informatie over de gebruiker te lekken. "Het is in feite een communicatiekanaal geworden voor het uitwisselen van data tussen websites", zegt Tim huang van Mozilla. Ook maken malafide websites misbruik van de eigenschap om privégegevens te verzamelen die onbedoeld door een andere website zijn gelekt.
Om dergelijke privacylekken te voorkomen wist Firefox nu de window.name eigenschap wanneer er een andere website wordt bezocht. Safari past deze methode inmiddels ook toe en op Chromium-gebaseerde browsers zijn dit van plan om te implementeren. De maatregel is doorgevoerd in Firefox 88 die nu beschikbaar is.
Deze posting is gelocked. Reageren is niet meer mogelijk.