Phishingfilter Firefox 3 niet waterdicht
Sinds de lancering vorige week dinsdag is Firefox 3 inmiddels al meer dan 17 miljoen keer gedownload, waaronder bijna 300.000 keer in Nederland. Veel van de gebruikers kiezen voor Mozilla's browser vanwege de veiligheid, hoewel die een kleine deuk opliep omdat vijf uur na de release al het eerste beveiligingslek opdook.
Een van de features die gebruikers moet beschermen is eTLD, Effective Top-Level Domains. Deze maatregel zorgt ervoor dat "broad-domein" cookies alleen maar voor een enkel domein gelden. Zo was het mogelijk om een cookie uit te geven dat op elk .co.uk domein te gebruiken was. Als het gaat om malware beschikt de browser over een verbeterd filter dat de Google Safe Browsing Service/API gebruikt. Dit is eigenlijk een blacklist van kwaadaardige pagina's. Bij elke opgevraagde kijkt Firefox eerst of de URL niet in de blacklist voor komt.
"Deze bescherming is net zo goed als de gebruikte blacklist, en hoewel we ontdekten dat sommige phishingsites inderdaad geblokkeerd werden, zagen we ook dat meerdere phishingsites gewoon werden doorgelaten," aldus Joren McReynolds, onderzoeker bij Websense.
Toch is McReynolds te spreken over de verbeteringen in Mozilla's browser. "Firefox 3 is de enige browser met de 'Prevention of Global Object Redeclaration' feature en gebruikt als enige JavaScript v1.8." Via de optie wordt voorkomen dat een aanvaller door middel van een kwaadaardig JavaScript vertrouwelijke informatie kan stelen. De laatste optie die de onderzoeker bekijkt is de aanpak van Cross-Site XMLHttpRequest Objects. Hierdoor kon de Same Origin Policy overtreden worden, een potentieel beveiligingsrisico. Mozilla heeft de functie verwijderd, die alleen nog via addons te gebruiken is.
wordt via een blacklist, deze is namelijk nooit 100% actueel!
Noem 1 maatregel die wel waterdicht is en laten we ons daaraan vergapen.
de melding
als een aanvalsite en is geblokkeerd op basis van uw
beveiligingsinstellingen.
bepaalde producten. Nog even en Microsoft krijgt de schuld, net als bij Safari.
Redactie, wees nou eens een keer gewoon objectief. Dit is een zeperd van
jewelste. Microsoft zouden jullie voor zoiets hebben afgekraakt tot op de
bodem.
Geweldig,klop jezelf maar op de borst. Wat zijn we weer
vriendelijk voor
bepaalde producten. Nog even en Microsoft krijgt de schuld,
net als bij Safari.
uitleggen: pavlovreactie = geconditioneerde reflex. Conditie
= Artikel over Mozilla, Reflex = Bovenstaande reactie zoals
we die ALTIJD van Nomen Nescio zien.
Redactie, wees nou eens een
keer gewoon objectief. Dit is een zeperd van jewelste.
Microsoft zouden jullie voor zoiets hebben afgekraakt tot op
de bodem.
nuancering gevonden:
restricting cookies so that the 2nd level domain has to be
greater than two characters (e.g., .co.uk cannot be used),
and blacklisted some other known similar domains.
blijk van gegeven dit probleem te onderkennen, hoewel deze
oplossing nog altijd niet waterdicht is.
Tsja, problemen vinden en onderkennen is soms wat makkelijker dan met goede oplossingen komen, maar is wel vaak de eerste stap... Ach, een nuancering, iets waar ik Nomen Nescio nog nooit op heb mogen betrappen.
Tot mijn schrik kreeg ik bij
http://www.staatsbosbeheer.nl/
de melding
gerapporteerd
als een aanvalsite en is geblokkeerd op basis van uw
beveiligingsinstellingen.
Misschien een false-positive, of misschien is de site gehackt?
Wie beheert eigenlijk deze blacklist? En wie controleert
dat? Hoe kom je er vanaf?
Even makkelijk kan je bezoekers ontmoedigen om bijv. een
site over mensenrechten te bezoeken!
Geweldig,klop jezelf maar op de borst. Wat zijn we weer
vriendelijk voor
bepaalde producten. Nog even en Microsoft krijgt de schuld,
net als bij Safari.
Redactie, wees nou eens een keer gewoon objectief. Dit is
een zeperd van
jewelste. Microsoft zouden jullie voor zoiets hebben
afgekraakt tot op de
bodem.
Jezus man, ik word gek van dat slappe geouweneel iedere keer
van je. Als je niks zinnigs en constructiefs te zeggen hebt
hou dan gewoon je waffel dicht man. Ik ben ook echt niet de
enige die ziek wordt van dat geleuter van je.
Beste security.nl, zouden jullie geen feature op de nieuwe
site kunnen maken dat bepaalde posters van dit forum gewoon
lekker geblokt kunnen worden? Dat zou een hoop schelen.
het spijt me vreselijk maar die Normen die begint me aardig
op mijn zenuwen te werken. Ik ben van nature uit een
pacifist omdat ik geweld verafschuw, maar zo'n vreselijk
irritante gast als Nescio zou ik soms voluit op z'n giechel
willen rammen als ik 'm zou tegenkomen en wist wie die was.
Zo, dat moest er ff een keer uit. ^^
te goed, om de een of andere reden kan ik mijn inlog gegeven
voor deze site niet meer bij newsfox ingeven..
of hebt security.nl iets aan de RSS feed gedaan ?
Geweldig,klop jezelf maar op de borst. Wat zijn we weer
vriendelijk voor
bepaalde producten. Nog even en Microsoft krijgt de schuld,
net als bij Safari.
Redactie, wees nou eens een keer gewoon objectief. Dit is
een zeperd van
jewelste. Microsoft zouden jullie voor zoiets hebben
afgekraakt tot op de
bodem.
ongenuanceerde reactie.
Het is een prut-artikeltje, want zoals met alle nieuwe
technieken zitten er fouten in. En dat wordt dan even fijn
sensationeel gebracht (phishingfilter niet waterdicht? Dus
Firefox maar niet gebruiken? Uit het artikel blijkt
vervolgens dat het allemaal wel meevalt).
Kortom: trek die tenen van je eens een keertje in. We weten
inmiddels dat Microsoft in jouw ogen niks fout kan doen,
maar dat houdt niet in dat alle artikelen die NIET over
Microsoft gaan meteen een aanval inhouden op jouw geliefde
Microsoft.
Tot mijn schrik kreeg ik bij
http://www.staatsbosbeheer.nl/
de melding
gerapporteerd
als een aanvalsite en is geblokkeerd op basis van uw
beveiligingsinstellingen.
Misschien een false-positive, of misschien is de site gehackt?
Wie beheert eigenlijk deze blacklist? En wie controleert
dat? Hoe kom je er vanaf?
Even makkelijk kan je bezoekers ontmoedigen om bijv. een
site over mensenrechten te bezoeken!
zich objectief noemende redactie niet past om iets positiefs te zeggen van een
product dat een geweldige zeperd haalt. En als je dat wel wilt doen, moet je
dat bij iedereen doen, niet alleen bij Firefox. Maar tja, moet ik soms nog
uitleggen wat een gekleurde bril betekent? Jij en de redactie dragen er allebei
een, dat is duidelijk,
Geweldig,klop jezelf maar op de borst. Wat zijn we weer
vriendelijk voor
bepaalde producten. Nog even en Microsoft krijgt de schuld,
net als bij Safari.
Redactie, wees nou eens een keer gewoon objectief. Dit is
een zeperd van
jewelste. Microsoft zouden jullie voor zoiets hebben
afgekraakt tot op de
bodem.
ongenuanceerde reactie.
Het is een prut-artikeltje, want zoals met alle nieuwe
technieken zitten er fouten in. En dat wordt dan even fijn
sensationeel gebracht (phishingfilter niet waterdicht? Dus
Firefox maar niet gebruiken? Uit het artikel blijkt
vervolgens dat het allemaal wel meevalt).
Kortom: trek die tenen van je eens een keertje in. We weten
inmiddels dat Microsoft in jouw ogen niks fout kan doen,
maar dat houdt niet in dat alle artikelen die NIET over
Microsoft gaan meteen een aanval inhouden op jouw geliefde
Microsoft.
vind dat een redactie OBJECTIEF moet zijn! Niet bij een klein foutje van
Microsoft roepen dat het een blamage is, en bij een grote fout in Firefox
roepen dat ze toch ook zoveel goede dingen hebben. DAT is waar ik over val.
Ook weer pavlov? Microsoft kan heel veel fout doen, en doet
dat ook. Maar ik
vind dat een redactie OBJECTIEF moet zijn! Niet bij een
klein foutje van
Microsoft roepen dat het een blamage is, en bij een grote
fout in Firefox
roepen dat ze toch ook zoveel goede dingen hebben. DAT is
waar ik over val.
oorspronkelijke bericht van Websense? Waarschijnlijk wel
maar mis je de verstandelijke vermogens om in te zien dat
het hier inderdaad niet om een gruwelijke zeperd gaat. Het
gaat hier om een intrinsieke kwetsbaarheid in het gebruik
van authentication cookies waar ook Microsoft geen
waterdichte oplossing voor heeft. (wel een betere,... dat
dan weer wel.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.