Firefox maakt einde aan misbruik van window.name door online trackers
Mozilla heeft een nieuwe beveiligingsmaatregel aan Firefox toegevoegd die gebruikers moet beschermen tegen misbruik van window.name door online trackers. De window.name eigenschap wordt door websites gebruikt om de naam van een venster in te stellen. Dit maakt het mogelijk voor hyperlinks of formulieren om naar het betreffende venster te navigeren.
De window.name eigenschap, die voor elke door de gebruiker bezochte website toegankelijk is, fungeert als een "bucket" voor de opslag van elke willekeurige data die een website daar besluit te plaatsen. Browsers maken gebruik van de same-origin policy om te voorkomen dat bepaalde data tussen websites kan worden uitgewisseld. Deze maatregel geldt echt niet voor window.name.
Dit zorgt ervoor dat het mogelijk is voor websites om data die in window.name is opgeslagen te benaderen, ook al is die daar door een andere website geplaatst. Wanneer een website het e-mailadres van de gebruiker in window.name opslaat, blijft deze informatie aanwezig wanneer de gebruiker via een link een andere website bezoekt. Deze website kan de informatie in window.name ook uitlezen zonder dat gebruikers dit weten of hiervoor toestemming hebben gegeven.
Volgens Mozilla maken trackingbedrijven misbruik van window.name om informatie over de gebruiker te lekken. "Het is in feite een communicatiekanaal geworden voor het uitwisselen van data tussen websites", zegt Tim huang van Mozilla. Ook maken malafide websites misbruik van de eigenschap om privégegevens te verzamelen die onbedoeld door een andere website zijn gelekt.
Om dergelijke privacylekken te voorkomen wist Firefox nu de window.name eigenschap wanneer er een andere website wordt bezocht. Safari past deze methode inmiddels ook toe en op Chromium-gebaseerde browsers zijn dit van plan om te implementeren. De maatregel is doorgevoerd in Firefox 88 die nu beschikbaar is.
te traceren via zoiets simpels als een browser.
Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.
Gewoon triest.
te traceren via zoiets simpels als een browser.
te traceren via zoiets simpels als een browser.
Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.
Gewoon triest.
Daarom gaat een browser op mijn pc al enkele jaren niet meer unsandboxed het internet op. Muv updates, tweaks e.d. En uiteraard zijn ook mijn wachtwoorden niet in de browsers opgeslagen. Iedere sessie dus een verse installatie, maar dan met tweaks.
Gebruik Sandboxie voor Windows en Firejail voor Linux. De moeite meer dan waard voor de nog immer meest kwetsbare apps die browsers zijn.
Beschouw
Als het vóór al die jaren niet complex was waarom heeft de wereld dan zo lang moeten wachten op jouw mondiale uitrol van een mitigatie van deze kwetsbaarheid in Firefox??
Als je de website verlaat blijft het cookie wel staan op je pc.
Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.
Window.name is gewoon een specificatie in javascript. In principe voldoet elke browser daar aan. Het feit dat er onlangs misbruik is waargenomen van deze feature en dat Moz://a daar een stolkje voor steekt is alleen maar goed toch?
Wat privacy betreft zit je met Firefox ver uit het best in vergelijking met alle op chromium of chrome gebaseerde browsers (en dat zijn ze vrijwel allemaal!).
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
Gewoon triest.
Als je de website verlaat blijft het cookie wel staan op je pc.
Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.
Dat is ook vrij eenvoudig in te stellen bij de gewone Firefox.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
