Firefox maakt einde aan misbruik van window.name door online trackers
Mozilla heeft een nieuwe beveiligingsmaatregel aan Firefox toegevoegd die gebruikers moet beschermen tegen misbruik van window.name door online trackers. De window.name eigenschap wordt door websites gebruikt om de naam van een venster in te stellen. Dit maakt het mogelijk voor hyperlinks of formulieren om naar het betreffende venster te navigeren.
De window.name eigenschap, die voor elke door de gebruiker bezochte website toegankelijk is, fungeert als een "bucket" voor de opslag van elke willekeurige data die een website daar besluit te plaatsen. Browsers maken gebruik van de same-origin policy om te voorkomen dat bepaalde data tussen websites kan worden uitgewisseld. Deze maatregel geldt echt niet voor window.name.
Dit zorgt ervoor dat het mogelijk is voor websites om data die in window.name is opgeslagen te benaderen, ook al is die daar door een andere website geplaatst. Wanneer een website het e-mailadres van de gebruiker in window.name opslaat, blijft deze informatie aanwezig wanneer de gebruiker via een link een andere website bezoekt. Deze website kan de informatie in window.name ook uitlezen zonder dat gebruikers dit weten of hiervoor toestemming hebben gegeven.
Volgens Mozilla maken trackingbedrijven misbruik van window.name om informatie over de gebruiker te lekken. "Het is in feite een communicatiekanaal geworden voor het uitwisselen van data tussen websites", zegt Tim huang van Mozilla. Ook maken malafide websites misbruik van de eigenschap om privégegevens te verzamelen die onbedoeld door een andere website zijn gelekt.
Om dergelijke privacylekken te voorkomen wist Firefox nu de window.name eigenschap wanneer er een andere website wordt bezocht. Safari past deze methode inmiddels ook toe en op Chromium-gebaseerde browsers zijn dit van plan om te implementeren. De maatregel is doorgevoerd in Firefox 88 die nu beschikbaar is.
te traceren via zoiets simpels als een browser.
Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.
Gewoon triest.
te traceren via zoiets simpels als een browser.
te traceren via zoiets simpels als een browser.
Hele websites geven maar een mogelijkheid wat cookies betreft, slikken of stikken.
Als je de website verlaat blijft het cookie wel staan op je pc.
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
En het verschil?? Geen flauw idee.
Gewoon triest.
Daarom gaat een browser op mijn pc al enkele jaren niet meer unsandboxed het internet op. Muv updates, tweaks e.d. En uiteraard zijn ook mijn wachtwoorden niet in de browsers opgeslagen. Iedere sessie dus een verse installatie, maar dan met tweaks.
Gebruik Sandboxie voor Windows en Firejail voor Linux. De moeite meer dan waard voor de nog immer meest kwetsbare apps die browsers zijn.
Beschouw
Als het vóór al die jaren niet complex was waarom heeft de wereld dan zo lang moeten wachten op jouw mondiale uitrol van een mitigatie van deze kwetsbaarheid in Firefox??
Als je de website verlaat blijft het cookie wel staan op je pc.
Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.
Window.name is gewoon een specificatie in javascript. In principe voldoet elke browser daar aan. Het feit dat er onlangs misbruik is waargenomen van deze feature en dat Moz://a daar een stolkje voor steekt is alleen maar goed toch?
Wat privacy betreft zit je met Firefox ver uit het best in vergelijking met alle op chromium of chrome gebaseerde browsers (en dat zijn ze vrijwel allemaal!).
Verwijderen heeft geen zin, de volgende keer dat je een site bezoekt is het wederom slikken of stikken.
Gewoon triest.
Als je de website verlaat blijft het cookie wel staan op je pc.
Als ik de Tor Brower onder Tails OS afsluit en worden alle cookies en tijdelijke cache bestanden onmiddelijk vernietigd.
Dat is ook vrij eenvoudig in te stellen bij de gewone Firefox.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.