IE immuun voor login-scannende website
Gepubliceerd: Woensdag 26 januari 2011
Auteur: Uhro van der Pluijm
Een Britse webdeveloper heeft een webscanner gemaakt die ziet of bezoekers zijn ingelogd bij onder meer Gmail of Twitter. Zijn Javascript-scanner werkt niet als de bezoekers IE of Opera gebruikt.
De Britse webdeveloper Mike Cardwell heeft een scantool (in Javascript) ontwikkeld waarmee hij kan zien of bezoekers van zijn site zijn ingelogd bij Gmail, Facebook, Twitter of Digg. Die ingelogde sessie draait dan in een ander browservenster of -tabblad. De 'login-voyeur' misbruikt hiervoor de http-statuscode die websites terugsturen naar de gebruiker. Zo'n statuscode is anders wanneer een gebruiker is ingelogd op een website. Technisch gezien zijn bijna alle websites vatbaar voor dit gebrek.
Afgeschermde webpagina
Het scriptje van Cardwell vraagt een pagina aan op een website die normaliter alleen te zien is voor ingelogde bezoekers. Voor de inlogscan voor Facebook vraagt de webtool een afgeschermde profielpagina op. Gebruikers die niet ingelogd zijn, krijgen de foutcode 404, die aangeeft dat de pagina niet gevonden is. Als een gebruiker wel ingelogd is, vangt het script de statuscode 200, oftewel 'OK' af.
Sommige websites werken overigens alleen als er wordt genavigeerd naar een pagina die juist is afgeschermd voor ingelogde bezoekers, zoals een inlogpagina. Dat is bijvoorbeeld het geval bij Twitter waardoor een foutmelding van de server voor die pagina juist betekent dat een gebruiker wél is ingelogd.
Websurfers kunnen zich wel zelf beschermen tegen deze 'login-voyeur'. Zij kunnen Internet Explorer of Opera gebruiken, of Firefox gecombineerd met de add-ons NoScript of Request Policy. Cardwells scripts werken dan niet. Volgens de webdeveloper zijn IE en Opera veilig omdat die als enige browsers niet reageren op zijn niet-valide javascripts.
Gmail-avatar als klikspaan
Om te controleren of iemand is ingelogd bij Gmail heeft Cardwell een hele andere manier bedacht. Hij gebruikt daarbij een script dat de avatar van zijn eigen Gmail-account laadt. Dat plaatje is zichtbaar voor alle ingelogde Gmail gebruikers. Als het script het plaatje op kan halen, betekent dat dus dat iemand is ingelogd bij Google.
Cardwell zegt Google geïnformeerd te hebben over dit probleem maar meldt dat de zoekgigant het negeert. Volgens Google is dit 'verwacht gedrag' en werkt de dienst dus naar behoren. Het script dat de Brit voor Gmail gebruikt, werkt in tegenstelling tot de andere scripts wel in alle internetbrowsers.
Pornosites en regimes
"Het kan je misschien niet zo veel schelen dat ik weet of je bent ingelogd op Gmail", stelt Cardwell op zijn weblog. "Maar misschien kan het je wel schelen als ik wist dat je bent ingelogd op één of meerdere pornosites".
De ontwikkelaar stelt ook dat kwaadwillenden toch wat kunnen met de onschuldige informatie. "Misschien wil onderdrukkend-regime.org wel een lijst verzamelen van bezoekers die ingelogd zijn bij controversiële-website.com", waarschuwt hij.
Cardwell meent dat dit 'scan-lek' een erg lastig probleem is om te vermijden als je een website ontwikkelt. Hij stelt dat sommige aanvragen wel gestopt kunnen worden door de http-referrer te checken. Daarmee wordt duidelijk van welke website een bezoeker komt. Door alle besloten informatie te weigeren vanaf andere websites dan het eigen domein kunnen ontwikkelaars het probleem inperken.
