Microsoft: pornoknop IE voorkomt cookiediefstal
Gepubliceerd: Dinsdag 31 mei 2011
Auteur: Uhro van der Pluijm
Microsoft adviseert gebruikers van Internet Explorer om privé browsen aan te zetten om diefstal van cookies te voorkomen. Het bedrijf benadrukt bovendien dat cookiediefstal geen softwareprobleem is.
Internet Explorer-gebruikers die tegen willen gaan dat hun cookies worden gestolen met behulp van de techniek die beveiligingsspecialist Rosario Valotta recent openbaarde, kunnen het beste InPrivate Browsing inschakelen. Dat stelt Microsoft-communicatiemanager Brandon LeBlanc.
'Geen softwareprobleem'
Met behulp van die feature in de browser van de softwaregigant, wordt een browsersessie geïsoleerd. Gebruikers krijgen dan wel cookies binnen maar die worden verwijderd. De cookies van andere sessies zijn onbereikbaar voor de website die een gebruiker bezoekt. Op die manier is het onmogelijk deze uit te lezen.
Microsoft benadrukt dat de mogelijkheid om cookies te stelen geen kwetsbaarheid in Internet Explorer is. Het is volgens het bedrijf slechts een vorm van social engineering waar alle browsers vatbaar voor zouden zijn. Desondanks komt Microsoft binnenkort wel met een update die cookiejacking in IE onmogelijk maakt.
Aanval nog niet in het wild
LeBlanc beweert overigens dat deze specifieke aanvalstechniek nog niet wijdverbreid is op het internet. Hoewel de techniek openbaar is zou het nog niet in het wild voorkomen. Andere vormen van clickjacking, een techniek die via muisklikken een verborgen, kwaadaardig script activeert, komen overigens wel regelmatig voor.
Microsoft adviseert gebruikers die helemaal zeker willen zijn van hun privacy dan ook om onbetrouwbare websites te mijden. Daarnaast promoot LeBlanc de webbrowser van zijn bedrijf door te stellen dat die gebruikers beveiligt tegen dit soort aanvallen. Waarom de techniek van Valotta daar dan toch doorheen komt, blijft onduidelijk.
