image

Browsers kwetsbaar door nooit gebruikte features en functies

dinsdag 24 mei 2016, 11:20 door Redactie, 2 reacties

Browsers bestaan uit miljoenen regels programmacode, duizenden JavaScript-functies en allerlei features, maar een groot deel van de features en functies wordt nooit gebruikt, maar kan wel beveiligingsproblemen introduceren. Dat blijkt uit onderzoek van de Universiteit van Illinois.

Zo bleek dat meer dan 50% van de JavaScript-features die browsers bieden nooit door de 10.000 populairste websites op internet wordt gebruikt. Een ander voorbeeld is de Web Audio api (programmeerinterface). Deze wordt nauwelijks door website gebruikt, maar stelt gebruikers wel bloot aan kwetsbaarheden. De onderzoekers ontdekten dat minder dan 2% van de websites van Web Audio gebruikmaakt. Maar de aanwezigheid van Web Audio heeft in Firefox de afgelopen drie jaar voor minstens 10 beveiligingslekken gezorgd.

De onderzoekers keken ook hoe populaire advertentie- en trackingblockers, zoals Adblock Plus en Ghostery, de features van websites blokkeren. Zo blijkt dat ongeveer 10% van de features op populaire websites buitengewoon vaak wordt geblokkeerd door deze extensies. Wanneer gebruikers deze extensies gebruiken worden ook vier standaarden niet meer op het web gebruikt, van de vijftien standaarden die in de browser beschikbaar zijn.

"De aanwezigheid van een grote hoeveelheid ongebruikte functionaliteit in de browser lijkt tegenstrijdig met het veiligheidsprincipe van zo min mogelijk rechten, of het alleen geven van de mogelijkheden die een applicatie nodig heeft om zijn bedoelde taak uit te voeren, en niet meer. Dit principe bestaat om het aanvalsoppervlak te verkleinen en onvoorziene beveiligingsrisico's, afkomstig van onverwachte en onbedoelde samenstellingen van features, te beperken", aldus de onderzoekers.

Aan de andere kant prijzen ze de open webstandaarden, die het voor gebruikers mogelijk maken om ongewenste functies en features op websites te blokkeren. "Nu de rol van de browser en het web blijft groeien, zal de mogelijkheid van gebruikers om hun ervaring aan te passen een belangrijke rol in het succes van het web spelen."

Image

Reacties (2)
24-05-2016, 11:26 door spatieman
wat is het wat MS altijd zegt.
het is geen bug, maar een ongedocumenteerde optie..
24-05-2016, 13:20 door Illnl
Door spatieman: wat is het wat MS altijd zegt.
het is geen bug, maar een ongedocumenteerde optie..

Leuk bericht, nog iets te melden met waarde of dat ook maar in de verste verte OT kan zijn?
Als je het onderzoek ook maar geopened had en enkel de plaatsjes had bekeken, had je al gezien dat MS eigenlijk de minste standaarden gebruikt/implementeerd op dit moment.
Als je dan ook nog de moeite had genomen het onderzoek te lezen, had je gezien dat de CVE lijst gebasseerd is op firefox vulnerabilities uit de laatste 3 jaar...

OT:
Hopelijk snel een browser die modules kan laden on-demand.
Zo te zien is Chrome toch het minst veilig dan, maar hoe betrouwbaar is dit onderzoek?
Als je punt 3.5 leest:
We collected information about browser vulnerabilities
and security bugs by finding all Common Vulnerabilities and
Exposures (CVEs) [53] (security-relevant bugs discovered in
software) related to the Firefox web browser that had been
documented in the last three years.

Of 4 :
To understand browser feature usage on the web, we conducted
a survey of the Alexa 10k, visiting each site ten
times and recording which browser features were utilized

Ik heb mijn twijfels bij dit onderzoek...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.