Hacker: eeuwige cookies zijn beveiligingsrisico
Sommige cookies hebben een eeuwige levensduur, wat handig voor advertentiebedrijven is, maar een serieus beveiligingsrisico kan vormen. Dat zegt Robert 'Rsnake' Hansen. "Ik vind het concept van persistente cookies verschrikkelijk. Als ik wil dat iets zou blijven, zou ik geen sandboxes gebruiken en op agressieve wijze mijn cookies handmatig verwijderen."
Hansen beschrijft een scenario waarbij gebruikers op een pornosite zitten die de browser dwingt om MySpace en Facebook te bezoeken. "Omdat je waarschijnlijk bent ingelogd, word je via CSRF, clickjacking of wat dan ook gecompromitteerd." De tweede mogelijke aanval is als de aanvaller weet dat de gebruiker is ingelogd. In dit geval vallen ze de gebruiker aan via het platform waarvan de aanvaller de inloggegevens wil hebben.
Mechanisme
De tweede aanval is lastig te voorkomen merkt Hansen op, maar de eerste aanval is voornamelijk toe te schrijven aan de levensduur van cookies. "Waarom moet een browser een cookie bewaren alleen omdat een website het dit vertelt?"
De onderzoeker erkent dat sommige gebruikers niet elke dag hun webmail wachtwoord willen invoeren, maar dat dit voor security-bewuste gebruikers anders is. "We moeten dus een standaard mechanisme overwegen voor de timing van cookies als ze niet actief naar een server worden gestuurd, ongeacht wat de server wil."
Ik zelf gebruik window washer die alles 13x overschrijft en ik verwijder regelmatig flashcookies
http://www.inbeeweb.nl/site/nieuws/page30.htm via deze website kun je uitvinden hoe!
Plus ik laat IE8 geen dagen cache of cookies bewaren ,maar nou las ik laatst bij jullie hier op de site dat IE8 die cookies helemaal niet gelijk verwijderd dus daar was ik dan wel weer verbaasd over dus misschien kan iemand daar ook een tip voor geven?
Plus ik laat IE8 geen dagen cache of cookies bewaren dus misschien kan iemand daar ook een tip voor geven?
Firefox gebruiken, instellen dat cookies bij het afsluiten verwijderd moeten worden en af en toe handmatig controleren. De Add-on Better Privacy installeren en ook af en toe handmatig controleren.
Plus ik laat IE8 geen dagen cache of cookies bewaren dus misschien kan iemand daar ook een tip voor geven?
Firefox gebruiken, instellen dat cookies bij het afsluiten verwijderd moeten worden en af en toe handmatig controleren. De Add-on Better Privacy installeren en ook af en toe handmatig controleren.
..en natuurlijk ook InPrivate browsing inschakelen..
..en natuurlijk ook InPrivate browsing inschakelen..
Dat deed ik dus, en toen ik handmatig controleerde, nadat ik mijn browser had afgesloten. Stonden er nog veel cookies in de folder. Die na een systeem herstart er nog stonden.Darom gebruik ik ook de ccleaner, die bij opstart van windhoos, automaties alle cookies kan wissen.
Voor firefox sluit ik me aan bij Roadmaster, Vooral de Better Privacy addon is handig, omdat die de flashcookies wist. Waardoor je voorkomt, dat aan de hand van flashcookies gewone cookies kunnen worden terug gezet.
En wat ook heel goed werkt is regelmatig je browser herstarten. Omdat pas bij afsluiten van je browser, de cookies worden gewist.
Zie ook:
http://kb.mozillazine.org/Network.cookie.lifetimePolicy
http://mozilla.gunnars.net/firefox_help_firefox_cookie_tutorial.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.