Firefox about:blank ontwerpfout helpt phishers
De Poolse beveiligingsonderzoeker Michael Zalewski heeft weer een fout in Firefox gevonden. Dit keer gaat het om een ontwerpfout die door phishers gebruikt kan worden om gebruikers te misleiden. Via een script is het mogelijk om een 'about:blank' URL in een nieuwe tab van Firefox te openen. Deze tab zal een lege adresbalk hebben, maar het script kan gewoon HTML op deze pagina injecteren.
Volgens Zalewski kan het plaatsen van tekst of HTML in een venster zonder adresbalk de gebruiker verwarren, omdat het dan niet duidelijk is waar de data of beveiligingswaarschuwingen vandaan komen. Een lege adresbalk is minder verdacht dan een dubieuze hostname of URL.
Daarnaast zorgt de ontwerpfout in Mozilla's browser ervoor dat een fix voor een oude User Interface spoofing bug omzeild kan worden. De bug maakte het mogelijk dat als een venster zonder adresbalk en menu's geopend werd, de aanvaller afbeeldingen en HTML controls kon plaatsen, bijvoorbeeld in de vorm van een nep adresbalk die "google.com" liet zien, terwijl een IFRAME daaronder de echte URL toonde. In het geval van 'about:blank' vensters is het nog steeds mogelijk voor een aanvaller om elementen van de browser te spoofen, zonder dat de gebruiker dit doorheeft.
Zalewski maakte de volgende demonstratie waarin de twee aanvallen getoond worden. De onderzoeker waarschuwde eerder deze week voor een Firefox bug waardoor aanvallers cookies kunnen manipuleren.
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze
ontwerpfout en dus krijgen Phishers hier geen kans.
Het wordt vervelend maar de kans dat men die noscript plugin er ook bij
geïnstalleerd heeft lijkt me niet zo groot.
Net zoals gebruikers die in IE Active-X hebben uitgeschakeld of met
restricted zones werken.
Dat is alleen maar bekend bij gebruikers die ook regelmatig security-
forums bezoeken. De rest is klikvee dat niet verder kijkt dan z'n neus lang
is.
Verspilde moeite dus.
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze ontwerpfout
en dus krijgen Phishers hier geen kans.
sites dan niet meer juist werken ofzoiets?
paginaas goed weer te geven maar als je het niet erg vind om voor
uitvoering van script telkens toestemming te geven is het wel een
oplossing
Het wordt saai, maar NOSCRIPT voorkomt de uitvoer van deze
ontwerpfout
en dus krijgen Phishers hier geen kans.
omdat veel
sites dan niet meer juist werken ofzoiets?
Vraag ik me ook af. Maar downloaden en installeren is niet
moeilijk. Ga daarvoor naar:
https://addons.mozilla.org/firefox/722/
van domme gebruikers als die op een belangrijke site ineens
een lege adresbalk zien en dan toch door gaan.
2e stuk van de bugs vind ik wel een kwalijke zaak
naar firefox en steeds meer fouten worden gevonden.
vergelijkbaar resultaat :) er zijn altijd mensen die de popups toelaten of
denken dat ze een gemiste site tegenkomen é voilà :)
websites wil verpesten dan gebruik in Links wel. (Linux).
Leuk plan dat NoScript. Maar als ik toch de functionaliteit van
websites wil verpesten dan gebruik in Links wel.
(Linux).
ik wel een leuke link voor je, een webrichtlijn van de
overheid
http://www.webrichtlijnen.nl/handleiding/ontwikkeling/productie/client-side-script-dom/optionele-karakter/#r-pd-14-1
Frappant is wel dat onder andere
http://wetten.overheid.nl/ de (eigen) richtlijnen
met voeten treden, door JavaScript abusievelijk te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.