Firefox bug laat aanvallers cookies manipuleren
Er is een nieuwe bug in Firefox ontdekt waardoor kwaadaardige sites de authenticatie cookies van andere websites kunnen manipuleren. Hierdoor kan een aanvaller de gebruiker laten denken dat hij verbinding maakt met een bank, terwijl hij in werkelijkheid gegevens van de kwaadaardige site ontvangt. Michal Zalewski, die eerder ook andere fouten in Firefox ontdekte, maakte deze demonstratie. Het lek is bevestigd in Firefox versie 2.0.0.1.
snoep van vreemden aan te nemen?
Javascript gebaseerd, en NoScript houdt Javascript tegen,
wat wil zeggen dat als je de extensie wijs gebruikt, je toch
veilig zit.
The page at *.dione.cc attempted to set a test cookie for
*.coredump.cx, but failed to complete this operation. It
might be that your browser is not vulnerable to the attack,
or that it is configured not to accept session cookies from
my domains.
Cookies staan bij mij standaard uit. Wanneer ik echt geen
andere keus heb, aanvaard ik cookies maar via "cookies van
websites accepteren => mij elke keer vragen". Net voordat ik
dan de webstek verlaat, worden de cookies verwijderd en
wordt de optie om cookies te aanvaarden gedeselecteerd.
Jammer genoeg zijn er heel wat mensen die blindelings
cookies aanvaarden.
exploit plaatsvinden. Niet in Firefox en niet in SeaMonkey.
ERROR
The requested URL could not be retrieved
While trying to process the request:
GET http://lcamtuf.dione.cc
The following error was encountered:
* Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
* Missing or unknown request method
* Missing URL
* Missing HTTP Identifier (HTTP/1.0)
* Request is too large
* Content-Length missing for POST or PUT requests
* Illegal character in hostname; underscores are not
allowed
Ja, en als NoScript is geïnstalleerd kan er helemaal geen
exploit plaatsvinden. Niet in Firefox en niet in SeaMonkey.
Je kan ook stoppen met browsen. Nog veiliger
by design). De specificatie doet onjuiste aannames hoe dns
werkt en baseert daar zijn 'veiligheid' op.
...
In dit geval lijkt javascript noodzakelijk te zijn voor de
exploit, maar dat is natuurlijk in lang niet alle gevallen
zo...
uitgevoerd worden, lijkt me. Ik kan me niet voorstellen dat
een site de browser kan vragen een koekje van een ander
domein in te zien. Laat staan te veranderen.
De test-site heeft in elk geval uitdrukkelijk Java-script
nodig. De test viel bij mij ondanks het via NoScript
tijdelijk toestaan van coredump.cx toch goed uit. Dat wil
zeggen: de test mislukte doordat mijn browser standaard geen
koekjes aanneemt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.