Mozilla dicht in Firefox 4 een lek waarmee de browsegeschiedenis van websurfers te achterhalen was. Apple heeft dit lek net al gedicht in Safari. IE en Chrome zijn nog kwetsbaar.
Het gaat om een gat dat al zeker tien jaar aanwezig is in alle webbrowsers. Het betreft de weergave van links die de gebruiker al heeft bezocht, versus 'verse' links. Daarvoor wordt een vergelijking gemaakt met de browsegeschiedenis van een browser. Die data is toegankelijk voor makers van kwaadaardige code.
In maart demonstreerde de Nederlander André Scholten met een script dat het mogelijk is het oogsten van deze browsegeschiedenis te automatiseren en te koppelen aan een webstatistiekenprogramma. Scholten wilde zo waarschuwen voor de mogelijkheden die het lek malafide marketeers en cybercriminelen biedt.
Genoemd in documentatieDeze kwetsbaarheid wordt zelfs genoemd in de documentatie voor CSS2 (cascading style sheets). "Het is mogelijk voor style authors om de pseudo-klassen :link en :visited te misbruiken om zonder toestemming van de gebruiker te bepalen welke sites een gebruiker heeft bezocht", vermeldt de voetnoot bij de uitleg van deze functie.
De bèta van Firefox 4 heeft een ingebouwd systeem dat het privacygat dicht zonder daarvoor de handige en veelgebruikte functie op te offeren. Deze oplossing was niet eenvoudig, stelt Mozilla-hoofdontwikkelaar Jonathan Nightingale. De eenvoudigste oplossing zou namelijk zijn het voorkomen van link-manipulatie, maar dat zou neerkomen op het kind weggooien met het badwater, aldus Nightingale.
'Liegen' tegen websiteDe oplossing is uitgedokterd door ontwikkelaar David Baron. Hij heeft het bestaan van deze zwakke plek in 2002 ook ingediend in Mozilla's bugsysteem en daar sindsdien aan gewerkt. De bugmelding bevat ook een link naar een site die dit lek demonstreert. De nu door Baron gevonden oplossing verlegt de focus voor deze functie van de website naar de eindgebruiker.
Firefox 4 beperkt de mogelijkheden voor linkmanipulatie en 'liegt' vervolgens tegen een website over welke pagina's al wel bezocht zijn. Tegelijkertijd zorgt de browser er zelf voor dat de kleur van de hyperlink voor de gebruiker wel aangeeft of een webpagina al eerder is bezocht of niet. Deze aanpak is volgens Nightingale ook lichter voor de rendering engine van de browser.
Internet Explorer en Chrome zijn nog wel kwetsbaar voor de zogenaamde CSS History hack.
Onderscheiden met privacyDe nieuwe privacybescherming in Firefox 4 is door de Mozilla-ontwikkelaars uiteengezet op de hackersconferentie Black Hat, die afgelopen week plaatsvond in Las Vegas. Hoofdontwikkelaar Nightingale geeft tegenover ict-nieuwssite CNET aan dat Apple's webbrowser Safari deze oplossing al in zich heeft opgenomen. De net uitgekomen update 5.0.1 van Safari dicht dit tien jaar oude lek.
De ontwikkelaars van Firefox hebben eerder al aangegeven zich te concentreren op privacyfuncties voor de aankomende nieuwe versie. Ironisch genoeg is net naar buiten gekomen dat de browserontwikkelaars van Microsoft dat begin 2008 ook van plan waren voor Internet Explorer 8 (IE8), aldus de Wall Street Journal.
Privacy versus commercieDe advertentiebelangen van Microsoft - van het bedrijf zelf en van partners - hebben dat echter voorkomen. Één van de toen betrokken topmensen spreekt in een reactie tegen dat privacy is geofferd voor commercie. IE8 heeft privacybeschermende mogelijkheden ingebouwd, stelt hij. Die staan default echter wel uit. |
