Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Favicon-bug laat Chrome, Firefox en Safari crashen

donderdag 18 juni 2015, 15:36 door Redactie, 18 reacties

Een bug in de manier waarop Google Chrome, Mozilla Firefox en Apple Safari met de favicons van websites omgaan zorgt ervoor dat ze uiteindelijk kunnen crashen. Het probleem werd bij toeval ontdekt door security-analist Andrea De Pasquale. Hij had een favicon van 64MB groot gedownload dat een volledige back-up van een WordPress-website bleek te zijn.

Programmeur Benjamin Gruenbaum werkte het probleem verder uit tot een demonstratie op GitHub, die browsers zonder dat gebruikers dit doorhebben een grote favicon laat downloaden. Voor zijn eigen demonstratie creëerde Gruenbaum een favicon van bijna 10GB die uiteindelijk voor een crash op zijn Macbook zorgde, zo laat hij op Hacker News weten. De onopgemerkte downloads zouden vooral een probleem kunnen zijn voor mobiele gebruikers met een datalimiet. Gruenbaum waarschuwde vervolgens Mozilla en Google voor het probleem. De ontwikkelaars van Firefox kwamen in drie uur met een oplossing, die in de nieuwste versie van de browser aanwezig zal zijn. Het probleem speelt niet bij Internet Explorer.

Adobe, Apple, Dropbox en Yahoo geroemd om privacy
Starter haalt 10 miljoen dollar op om adblockers te blokkeren
Reacties (18)
18-06-2015, 15:45 door karma4
Een bij toeval ontdekte bug. Hoe lang was die er al?
Leuk binnen 3 uur code aanpassen als je de fout weet. Niet echt iets belangrijks. Dit deel lijkt niet op de fout/oonverwachte situatie getest en gecheckt te zijn. De belangrijke vraag is: wat is nog meer niet gecheckt getest en is fout en is gevaarlijk in bepaalde situaties.
18-06-2015, 15:45 door karma4
[Verwijderd]
18-06-2015, 15:45 door karma4
[Verwijderd]
18-06-2015, 16:06 door Anoniem
Klein detail: Het duurt best lang voordat je 10 GB gedownload hebt...
18-06-2015, 18:43 door Skizmo
Door Anoniem: Klein detail: Het duurt best lang voordat je 10 GB gedownload hebt...
Mobiel niet meegerekend.... de vaste lijnen worden steeds sneller. Heb nu glasvezel 200/200... ik zou het waarschijnlijk niet eens merken.
18-06-2015, 19:00 door Anoniem
Door Skizmo:
Door Anoniem: Klein detail: Het duurt best lang voordat je 10 GB gedownload hebt...
Mobiel niet meegerekend.... de vaste lijnen worden steeds sneller. Heb nu glasvezel 200/200... ik zou het waarschijnlijk niet eens merken.

Met 200/200 zit je wel in het boven segment, zeker gezien de gemiddelde bandbreedte in de wereld. Wist je dat het internet groter is dan alleen Nederland?
18-06-2015, 20:28 door Anoniem
Als je het Firefox bugzilla-item leest dan wordt er ook melding gemaakt van een .svg voorzien van een zipbomb (kortom 10 GiB downloaden is niet nodig). Heb het getest in Firefox op Linux en hoewel er flink geswapt werd crashte Firefox niet.
Lijkt dus sterk afhankelijk van de hoeveelheid adresseerbaar geheugen en hoewel niet heel erg gevaarlijk wel irritant.
18-06-2015, 23:40 door Anoniem
Wat is een favicon?
19-06-2015, 00:55 door Eric-Jan H te D
Door karma4: wat is nog meer niet gecheckt getest en is fout en is gevaarlijk in bepaalde situaties.

Genoeg! "And only time will tell"
19-06-2015, 08:53 door buttonius
Door Anoniem: Wat is een favicon?
Een favicon is een klein plaatje, logo dat bij een web site hoort. De meeste browsers tonen favicons in de tab van de pagina. De favicon van security.nl is een rood vierkantje met twee witte, op een euro teken lijkende symbolen, erin. In de kop van elke pagina op security.nl staat een grotere versie van dit logo links van de tekst security.nl
19-06-2015, 09:15 door Anoniem
Programmeurs: schrijf deze regels 100 keer op.

"Alle data op internet is onvertrouwd"

"Alle onvertrouwde data zijn eigen parser"

"Elke parser zijn eigen proces."

"Elk proces zijn eigen sandbox"
19-06-2015, 09:21 door N4ppy
Door buttonius:
Door Anoniem: Wat is een favicon?
Een favicon is een klein plaatje, logo dat bij een web site hoort. De meeste browsers tonen favicons in de tab van de pagina. De favicon van security.nl is een rood vierkantje met twee witte, op een euro teken lijkende symbolen, erin. In de kop van elke pagina op security.nl staat een grotere versie van dit logo links van de tekst security.nl
Volgens mij zijn het een paar schakels van een ketting :)
19-06-2015, 11:52 door spatieman
ik meen toch te zien dat firefox al HEEL lang geen faveicon meer doet ondersteunen...
19-06-2015, 14:22 door Anoniem
Door spatieman: ik meen toch te zien dat firefox al HEEL lang geen faveicon meer doet ondersteunen...

Verkeerde conclusie.
De favicons zijn verplaatst naar de tabs om phishing te voorkomen.
Phishing sites gebruik(t)en als fav een afbeelding van een slotje zodat de illusie werd gewekt een veilige verbinding te hebben.

Sommige extensies kunnen de oude, in principe onveilige situatie weer terugzetten, maar veranderen dan de
favicon parameters in about:config. Zet deze parameters weer op true (boolean) om de favs in de tabs te zien.

Daarna Firefox herstarten !

Als u CTR gebruikt dan hoeft u niet naar about:config maar kunt u daar de favs aan of uitzetten.

Daarna Firefox herstarten !

Sommige extended themes en extensies die met tabs werken kunnen ook problemen geven.
In het laatste geval is het ook bijna altijd een kwestie van (een van de vele opties) in de extensie.

Daarna Firefox herstarten !

Nog een advies aan u:
Kom NIET met (verkeerde) conclusies, maar kom met een vraag, als iets niet lijkt te werken,
liefst op het forum zodat meerdere mensen er iets aan hebben.
19-06-2015, 14:55 door Anoniem
Door spatieman: ik meen toch te zien dat firefox al HEEL lang geen faveicon meer doet ondersteunen...

Zie je bij Security.nl pagina's een klein rood kettingplaatje in je tab?

Standaard setting in de about:config van Firefox is
browser.chrome.favicons;true
Maar je kan deze voorkeur met een simpele dubbelklik op de regel op "false" zetten.

Of is dat plaatje in de tab eigenlijk het Site-icon?
browser.chrome.site_icons;true
Verwarrend, ik denk het eigenlijk wel, deze standaard voorkeur kan je overigens eveneens ook simpel op "false" zetten.

Als Firefox deze rule nog wel heeft maar het Favicon allang niet meer toont omdat het Favicon-icon ooit aan het begin nog voor "http".. in de urlbar kwam, een icon-plaatjesplek die tegenwoordig alleen nog voor groen (ev) grijze certificaatslotjes is gereserveerd,….

… bedoelt de ontdekker van de bug dan misschien eigenlijk het Site-icon in plaats van het genoemde Favicon?

Site-icon of Favicon?
That's the question..
20-06-2015, 09:33 door Anoniem
Door Anoniem: Wat is een favicon?

Als je dit letterlijk in google had gezet dan had je niet op een antwoord hoeven wachten...
20-06-2015, 14:20 door Anoniem
Door Anoniem:
Door spatieman: ik meen toch te zien dat firefox al HEEL lang geen faveicon meer doet ondersteunen...

Zie je bij Security.nl pagina's een klein rood kettingplaatje in je tab?

Standaard setting in de about:config van Firefox is
browser.chrome.favicons;true
Maar je kan deze voorkeur met een simpele dubbelklik op de regel op "false" zetten.

Of is dat plaatje in de tab eigenlijk het Site-icon?
browser.chrome.site_icons;true
Verwarrend, ik denk het eigenlijk wel, deze standaard voorkeur kan je overigens eveneens ook simpel op "false" zetten.

Als Firefox deze rule nog wel heeft maar het Favicon allang niet meer toont omdat het Favicon-icon ooit aan het begin nog voor "http".. in de urlbar kwam, een icon-plaatjesplek die tegenwoordig alleen nog voor groen (ev) grijze certificaatslotjes is gereserveerd,….

… bedoelt de ontdekker van de bug dan misschien eigenlijk het Site-icon in plaats van het genoemde Favicon?

Site-icon of Favicon?
That's the question..

Kun je opzoeken in: http://kb.mozillazine.org/About:config_entries#Browser
Je kunt ze het beste allebei op dezelfde stand zetten, dus naar wens of allebei "true"(default), of anders allebei "false".

That's the answer. ;-)
20-06-2015, 17:38 door Anoniem
De vraag was eigenlijk meer een hint naar de schrijver van de openingspost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

12 reacties
Aantal stemmen: 612
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter