Chrome gaat gebruikers tegen ongewenste redirects beschermen
Google gaat nieuwe beveiligingsmaatregelen aan Chrome toevoegen die gebruikers tegen ongewenste redirects moeten beschermen. Volgens de internetgigant komt het geregeld voor dat gebruikers onverwacht naar ongewenste content, zoals een nieuwe pagina, worden doorgestuurd.
Scammers maken hier bijvoorbeeld misbruik van om internetgebruikers naar websites te leiden die stellen dat hun computers is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem op te lossen. Google stelt dat deze redirects vaak van content van derde partijen afkomstig zijn en de eigenaar van de website hier helemaal niets van weet. Om dit probleem aan te pakken zal Chrome redirects afkomstig van third-party iframes gaan blokkeren. Gebruikers krijgen in dit geval een informatiebalk te zien. Alleen als de gebruiker zelfs met het frame bezig was wordt de redirect toegestaan.
Ongewenste redirects doen zich niet alleen spontaan via iframes voor. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Volgens Google wordt hiermee de pop-upblocker van Chrome omzeild. Daarom zal vanaf Chrome 65 ook dit gedrag worden geblokkeerd en er een informatiebalk verschijnen. Gebruikers kunnen zo ongestoord naar de bedoelde bestemming doorgaan.
Als laatste zijn er redirects die veel lastiger zijn te detecteren. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook deze redirects zullen vanaf januari door Chrome worden geblokkeerd. Google gaat eigenaren van websites daarnaast waarschuwen als dergelijke redirects op hun websites zijn aangetroffen, zodat er maatregelen genomen kunnen worden. Als de eigenaar niet in actie komt en het probleem 30 dagen ongemoeid laat zal Chrome het openen van nieuwe tabs en vensters blokkeren.
Het zou ook leuk zijn als Google Chrome gebruikers gaat waarschuwen tegen bij voorbeeld "cloaking", daar waarbij websites iets anders als code tonen aan Googlebot dan aan Google Chrome,
Tevens iFrames als <iframe src="//www.googletagmanager.com/ns.html?id=GTM-M4FTC5" height="0" width="0" style="display:none;visibility:hidden"></iframe> zullen wel niet door deze beveiligingsmaatregel worden aangegeven,
omdat Google daar zelf code verbergt en dat als OK wordt bestempeld, wat het bij sommige verborgen iFrames niet altijd hoeft te zijn (0 0 0 ).
Google wordt dus steeds meer de slager, die de eigen worst gaat keuren. Voor de smeer likt immers de kat de kandeleer.
En iedereen op de Google bandwaggon gezeten, vindt het prachtig.
Men weet echter al lang, dat des te meer mono-cultuur er komt, des te meer onveiligheid zich daarop gaat of zal gaan richten. Goede actie van Google, maar we houden ze in de gaten. "Too big to fail" immers.
luntrus
Met Noscript voor groom : uMatrix
https://chrome.google.com/webstore/detail/umatrix/ogfcmafjalglgifnmanfmnieipoejdcf?hl=en
Een zeer zuiver naar behoefte af te stellen.
Helemaal volledig eens met de poster van 14.10, goede browser hygiëne begint bij jezelf.
Maar hierbij geholpen natuurlijk door de niet voor de verantwoording weglopende website ontwerper, web admin en hoster.
Zij zijn het, die oude, kwetsbare en verlaten code op tijd weet af te voeren, die instellingen en configuraties op webserver software, naamserver en op de website CMS juist hebben afgesteld en van de nodige input output validatie heeft voorzien (nonces, pins, sri hashes), de juiste security headers heeft geïmplementeerd, certificaten goed ingesteld, de nieuwste best practices voor protocols toegepast, kortom ervoor gezorgd heeft dat de website bezoekers hier geen kopzorgen over hoeven te hebben en in vol vertrouwen de website kunnen bezoeken en gebruiken.
Kijk eens bij voorbeeld voor een bepaalde site via scans als: https://observatory.mozilla.org/ & https://privacyscore.org/ & retire.insecurity.today/# & cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp in hoeverre hen dat is gelukt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.