Porno-knop beschermt IE tegen cookiemonsters
Internet Explorer-gebruikers die zich tegen het nieuwe cookie-lek willen beschermen, moeten de zogeheten 'pornoknop' gebruiken. Dat zegt Microsoft in een verklaring op een onthulling tijdens de hackerconferentie Hack in the Box Amsterdam. Daar liet onderzoeker Rosario Valotta zien hoe hij toegang tot Facebook, Twitter, Gmail en andere accounts via een nieuw lek in IE kan krijgen.
Volgens Microsoft zijn er nog geen gevallen bekend waarbij aanvallers het nieuwe lek in het 'wild' misbruiken. "Cookiejacking is een variant van een industriebreed probleem genaamd clickjacking", laat Brandon LeBlanc weten. De softwaregigant zegt dat het het probleem serieus neemt en aan een update werkt.
Pornoknop
"Maar we willen dit specifieke probleem ook in context plaatsen", gaat LeBlanc verder. Slachtoffers moeten acties met kwaadaardige content op een website uitvoeren voordat een derde partij de cookies kan stelen waarop de gebruiker is ingelogd. In afwachting op de update, kunnen gebruikers zich via InPrivate Browsing beschermen. Deze optie, ook omschreven als pornoknop omdat het geen surfgeschiedenis opslaat, voorkomt dat cookies van een eerdere sessie worden bewaard. "Wat betekent dat ze niet kwetsbaar voor cookiejacking zijn, zelfs in de eerdere omschreven situatie."
LeBlanc benadrukt dat het hier niet om een beveiligingslek gaat, maar om een vorm van social engineering. "En dit soort dreigingen blijven altijd een zorg voor internetgebruikers op alle browsers. Softwarelekken zijn niet nodig voor dit soort dreigingen om succesvol te zijn."
LeBlanc:
Slachtoffers moeten acties met kwaadaardige content op een website uitvoeren voordat een derde partij de cookies kan stelen waarop de gebruiker is ingelogd. In afwachting op de update, kunnen gebruikers zich via InPrivate Browsing beschermen. Deze optie, ook omschreven als pornoknop omdat het geen surfgeschiedenis opslaat, voorkomt dat cookies van een eerdere sessie worden bewaard. "Wat betekent dat ze niet kwetsbaar voor cookiejacking zijn, zelfs in de eerdere omschreven situatie."
Bij het gebruik van InPrivate browsing worden, als ik me niet vergis, cookies wel degelijk opgeslagen (want anders is bijvoorbeeld inloggen op websites onmogelijk), maar worden die cookies bij het afsluiten van de browser-sessie verwijderd. Hierin verschilt dit niets van een browser-voorkeurinstelling waarbij onder opties is ingesteld dat de browsegeschiedenis moet worden verwijderd bij het afsluiten van de browser-sessie.
Zolang de InPrivate sessie nog niet is afgesloten (of een reguliere browser-sessie met instelling dat de browsegeschiedenis moet worden verwijderd bij het afsluiten van de browser-sessie), zijn cookies zoals inlog-cookies nog opgeslagen, nog niet verwijderd, en in principe gevoelig voor die beschreven kwetsbaarheid.
W\at nou pornoknopp? Pibncode om je gehuurde videorecorder te starten? ROT OP!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
