Google kondigt nieuwe maatregel aan tegen cookiediefstal
Google heeft een nieuwe maatregel aangekondigd die gebruikers tegen cookiediefstal moet beschermen. Het techbedrijf stelt dat het geen nieuwe trackingmethode wordt en gebruikers het kunnen uitschakelen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd.
Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal heeft Google nu 'Device Bound Session Credentials' (DBSC) bedacht. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt.
DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken.De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen.
Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld.
Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt. Op dit moment wordt er geëxperimenteerd met een prototype van DBSC dat alleen bij een Google-account is te gebruiken. Later dit jaar moeten er verdere tests plaatsvinden. Google benadrukt verder dat DBSC in een third-party context dezelfde beschikbaarheid en segmentatie heeft als third-party cookies, om er zo voor te zorgen dat DBSC geen nieuwe trackingmethode wordt zodra third-party cookies zijn uitgefaseerd.
Ik had - tot nu toe - aangenomen dat session keys op een of andere manier gebonden zijn aan je computer, je browser, en/of IP nummer, maar kennelijk is dat niet zo. Misschien was dat een beetje naïef van mij.
Om dit goed te kunnen doen zal je een computer-gebonden kenmerk moeten gebruiken dat niet te kopiëren is. Gebruik van de TPM ligt daarbij voor de hand. Een puur softwarematige oplossing kan nooit echt veilig zijn. Malware die je session keys kan stelen kan elke puur softwarematige beveiliging omzeilen.
Eigenlijk niet, als ze in een TPM module opslaan van de processor.
Dan heb je toegang nodig tot het systeem (met de malware) en een manier om in die module in te breken.
Wat wel lastig blijft, zelfs al heb je zelfs fysiek toegang tot het systeem.
Zo doet de mafia dat ook, je krijgt van hun ook "bescherming".
“Daarnaast keken we naar zogenoemde dark patterns, die ervoor moeten zorgen dat je sneller toestemming geeft. De toestemmingsknop is dan bijvoorbeeld gekleurd en duidelijk zichtbaar, terwijl de weigerknop grijzig is en weggestopt zit. Ruim 67 procent van de websites doet dit.”
https://www.parool.nl/nederland/90-procent-van-websites-lapt-regels-voor-cookies-aan-laars-ontdekte-amsterdamse-onderzoeker-onthutsend-veel~b73c5419/
Said no to tracking cookies? Good chance your data are still being collected
Faculteit der Rechtsgeleerdheid
Amsterdam Law School
21 maart 2024 | 21 March 2024
Opzettelijke privacyschending
Intentional privacy violations
In hoeverre houden websites zich aan de toestemmingsvereisten? Dat is de vraag die Zac stelde in het onderzoek dat hij uitvoerde samen met de afdeling Computerwetenschappen van de ETH Zürich. Ze creëerden een geautomatiseerde tool die werkt op basis van machine learning-methoden, waarmee ze 100.000 websites in Europa konden analyseren. De resultaten waren onthutsend: ongeveer 90 procent van de websites bleek niet te voldoen aan ten minste één vereiste.
https://www.uva.nl/en/shared-content/faculteiten/en/faculteit-der-rechtsgeleerdheid/news/2024/03/control-your-cookies.html
Amit Zac is docent bij het Amsterdam Center for Law & Economics (ACLE) aan de Faculteit der Rechtsgeleerdheid. Hij promoveerde aan Oxford. The full research paper: ‘Automated Large-Scale Analysis of Cookie Notice Compliance’ [PDF ]
https://www.usenix.org/system/files/sec23winter-prepub-107-bouhoula.pdf
‘Op dit moment werkt het cookie-systeem niet,’ meent Zac. Dus hoe lossen we deze kloof tussen de wet en praktijk op?
Stolen Session Cookies: The Next Big Cyber Threat
Additionally, disabling "remember me" options on platform login pages and frequently deleting cookies stored in a browser reduces the risk of session hijacking, ensuring that criminals don't obtain access to active session cookies, even in the case of malware infection. - https://www.forbes.com/sites/forbestechcouncil/2023/07/24/stolen-session-cookies-the-next-big-cyber-threat/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
