Chrome, IE en Firefox lekken weer surfgeschiedenis
Een beveiligingsonderzoeker heeft een probleem in Chrome. Firefox en Internet Explorer ontdekt waardoor het weer mogelijk is voor websites om de surfgeschiedenis van bezoekers te achterhalen. Een probleem waarmee de browsers in het verleden ook al meerdere malen mee te maken kregen.
Het nieuwste probleem werd door Aäron Thijs ontdekt, student aan de Belgische Universiteit Hasselt. De aanval die Thijs ontwikkelde is gebaseerd op onderzoek van collega-onderzoeker Paul Stone, die zijn werk vorig jaar al presenteerde. De aanval van Thijs maakt gebruik van een programmeerinterface genaamd requestAnimationFrame. Deze interface is eigenlijk ontwikkeld om animaties soepeler af te spelen.
Het kan echter ook worden gebruikt om te bepalen hoe lang een browser doet over het weergeven van een bepaalde website. Door verschillen te meten in de tijd die een browser nodig heeft om een bepaalde link weer te geven, kan een aanvaller bepalen of een specifieke website al eens is bezocht.
Websites
Voor zijn demonstratie keek Thijs alleen of mensen Facebook hadden bezocht. "Het kan echter ook worden gebruikt om op een groot aantal websites te controleren. Als het script op een website wordt ingebed die iemand bezoekt, kan het stilletjes in de achtergrond draaien en de resultaten terug naar de aanvaller sturen", zo laat de student tegenover Ars Technica weten. Mozilla zou volgens Thijs aan een update werken.
Een bericht op het Microsoft forum waar de student het probleem dit weekend kenbaar maakte werd op privé gezet, maar is nog wel via de cache van Google te vinden. Het probleem zou inmiddels ook door de ontwikkelaars van Chrome worden besproken. Gebruikers die zich tegen de aanval willen beschermen krijgen het advies om regelmatig hun geschiedenis te verwijderen of de browser zo in stellen dat er helemaal niets wordt opgeslagen.
Niets opslaan is nog een relatief begrip.
In het geval van Firefox is zelfs de keuze voor de browsing modus "Private Browsing" dan niet genoeg.
Wil je dat Firefox niets (of in ieder geval minder) onthoudt zal je in de "Private Browsing" modus daarnaast elke nieuwe link moeten openen in een nieuw window, in plaats dus van 'gewoon' op een link te klikken of links te openen in tabs in het zelfde window.
Want :
- Met gewoon klikken kan je terug navigeren (menu balk pijltje), wat inhoudt dat bezochte links (nog ergens) worden onthouden.
- Met "Tabbed Browsing" is de onthouden geschiedenis zelfs zichtbaar en opvraagbaar onder het menu "History" > "Recently Closed Tabs".
Met het openen van links in een nieuw window is in ieder geval niet meer via de menu opties de historie te bezoeken, die blijven dan allemaal blanco.
Ben je er dan? :
Misschien wel, misschien ook niet want hoe zit het bijvoorbeeld met de "Visited Links" historie die je browser kan bewaren?
Het aloude probleem van CSS history sniffing, het uitlezen van bezochte links, schijnt lang geleden al opgelost te zijn; het door de browser onthouden van bezochte links op kleurcode.
Een bezochte link geeft dan bijvoorbeeld de kleur paars in plaats van de blauwe 'nog niet bezochte link' kleur.
Mocht je browser die verschillen nog wel weergeven dan mag je denk ik er van uitgaan dat je browser een dergelijke historie tijdens je browser sessie nog bewaart.
En als het er is kan het misschien een keer weer misbruikt gaan worden door een nieuwe slimme ontdekking.
Voor een redelijke tussenweg gekozen (Firefox):
- Je browser zo instellen dat het de gehele historie wist wanneer je de browser(sessie) afsluit, onder privacy voorkeuren
"Use custom settings for history" > "Settings"
Met alle velden aanvinken en de optie "Clear history when Firefox closes" wordt ook 'alles' gewist bij het afsluiten van je browser.
- Cookies weigeren van "Third-party sites" kan zeker ook geen kwaad voor je privacy tijdens de browsersessie.
- Daarnaast kan je nog kiezen voor aanpassing in de suggesties van je "Location Bar"; "When using the location bar, suggest:" "Nothing" , of alleen "Bookmarks" , maar in ieder geval geen "History" (!).
Aanpassingen in de dieper gelegen browser voorkeuren, de "About:Config"
- Je 'referrer' (in Firefox referer) informatie uitschakelen.
Dus je browser aan een website standaard niet meer laten vertellen waar je vandaan kwam.
Firefox; type about:config in je urlbar
verander de waarden onder de volgende strings, dubbelklikken op de regel :
network.http.sendSecureXSiteReferrer;false
Link prefetching :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefetching_FAQ#What_is_link_prefetching.3F
Uitzetten :
network.prefetch-next;false
CSS historie :
En de kleurtjes van de bezochte links natuurlijk!
Verschil is er overigens niet onder "Private Browsing"
Standaard uitzetten kan :
Verder valt er nog veel meer in de about:config aan te passen als het om privacy gaat, dat laat ik even voor nu.
(Opmerkingen gelden voor Firefox ESR 24.5.0 ('Firefox Classic Look' ;-) Long Term Support / Extended Support versie), mogelijke verschillen met nieuwe versie 29 even voorbehouden, check het zelf)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.