Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Bron: WebWereld, submitter: Sen

Mozilla logo (klein)Op WebWereld kunnen we lezen dat Mozilla een bug bevat die het voor websites mogelijk maakt om ongewenste informatie op te vragen. De websites zouden informatie over sites die de bezoeker daarna bezoekt kunnen vergaren. De bug is te vinden in versies 1.0, 1.0.1 en 1.1. Ook andere browsers die gebruik maken van Mozilla techniek, zoals Netscape en Galeon, bevatten deze fout. Op dit moment is er nog geen fix beschikbaar en lijkt de enige oplossing het uitzetten van Javascript ondersteuning in de browser. Het is nog niet bekend wanneer er een fix uitkomt.

Update: Inmiddels zijn er wat workarounds bedacht voor deze 'feature' :

Pick one:
  • Create a file user.js in your profile folder (the one with the pref.js file). For Windows users, the path is probably something like C:\WINDOWS\ApplicationData\Mozilla\Profiles\Default User\f9a1239a.slt. For UNIX, it's $HOME/.mozilla/default. Put the following line in the file: user_pref ("capability.policy.default.Window.onunload", "noAccess"); This will stop the onunload handler from being activated.
  • You can also put the following line in your user.js file instead to disable the HTTP_REFERER header completely: user_pref("network.http.sendRefererHeader", 0);
  • Use a proxy that removes the HTTP referer header, such as Privoxy or The Proxomitron (Win32 only) or
  • Disable JavaScript

Met dank aan Amien90 voor de tip.

Moderatie-faq Wijzig weergave

Reacties (39)

Hier http://members.ping.de/~sven/mozbug/refcook.html wordt uitgelegt hoe de bug te fixen is...
Voor degenen die meteen de fix willen weten:
Zoals je ook daar zult kunnen lezen is het heel simpel te fixen, en dat is om de volgende regel in je "user.js" te zetten (als je die niet hebt, dan moet je even zoeken naar "prefs.js" en in dat pad "user.js" aanmaken):
user_pref("capability.policy.default.Window.onunload","noAccess");
En voila alles is gefixed... Maar dit is nou niet zo'n grote bug om over naar huis te schrijven... :+
Mozilla browsers verklikken surfgedrag.
Zeer foute topictitel!

Toen ik die las, dacht ik direct "Ja hoor, weer zo een. Ga je net naar Mozilla om geen verklik- doorgeef- en spiek- gedrag te hebben, zit het daar ook weer in!"

Deze topictitel geeft de indruk dat Mozilla spyware bevat, of surfgedrag moedwillig vrijgeeft, terwijl later blijkt dat het een een bug is, en geen spyware poging. Een bug, of moedwillige spyware zijn twee verschillende dingen.
Dit is echt een zware tegenvaller voor Mozilla, waar het de laatste tijd zo goed ging. Al zal het mij er niet van weerhouden om Mozilla te gebruiken.

Overigens zal dit waarschijnlijk op korte termijn tot een nieuwe Milestone Release leiden, waar de bug in verholpen is, dat is immers het voordeel van open source software.

Op http://mozilla.org is overigens al Mozilla 1.2alpha al te vinden, die recent gereleased is, ik vraag me af of de bug daar soms al uit verholpen is?

Edit: Op de pagina die Trellian hieronder geeft, is te vinden dat ook versie 1.2alpha gevoelig is voor de bug.
*zucht* echt een hele zware tegenvaller, hoor! :+
Een site kan bijhouden welke url je na hun bezoekt. Bedenk je de mogelijkheden voor hackers, je hele systeem kunnen ze overnemen, bestanden verwijderen, creditcardgegevens overal vandaan halen, je bios slopen... :z

Zry, maar dat soort info mogen ze nog net wel van me weten, de eerstvolgende url, heb liever dit en geen popups, dan een crappy browser die m'n hele scherm vervuild met om de haverklap popups...

Trouwens je moet ook weer terugkeren naar die site... Maar d'r is dus gewoon een heel simpele fix, die iedereen kan gebruiken, door een regeltje toe te voegen aan je config, 'k wou dat dat met ander browsers/emailclients zo gemakkelijk kon...
*zucht* echt een hele zware tegenvaller, hoor! :+
Een site kan bijhouden welke url je na hun bezoekt. Bedenk je de mogelijkheden voor hackers, je hele systeem kunnen ze overnemen, bestanden verwijderen, creditcardgegevens overal vandaan halen, je bios slopen...
Overdrijven is een gave, ik geef het direct toe ;)

Wat ik bedoelde met een tegenvaller is dat dit bij mijn weten voor het eerst is dat Mozilla "negatief" in de publiciteit komt. En voor de doorsnee internetter zal dit artikel wellicht zwaarder wegen dan nodig, door gebrek aan kennis van zaken. De maagdelijk witte reputatie vertoont een vlekje, zeg maar :P

Voor de diehard Mozilla fan (waar ik mijzelf ook onder reken) zal dit absoluut geen rede zijn om van Mozilla af te stappen, maar jammer is het wel.
Maar d'r is dus gewoon een heel simpele fix, die iedereen kan gebruiken, door een regeltje toe te voegen aan je config, 'k wou dat dat met ander browsers/emailclients zo gemakkelijk kon.
Klopt, wat dat betreft is javascript uitzetten in de instellingen een beetje een paardemiddel, maar wellicht voor de doorsnee gebruiker wel de makkelijkste optie. Het wordt op de hieronder genoemde site in ieder geval niet voor niets als laatste optie gegeven ;)
"Only God can be perfect" en het is nog geen God-zilla ;)

Bugs zullen d'r altijd wel zijn in software van enige omvang, daar is haast niet omheen te komen. Als dit het eerste vlekje op de maagdelijk witte reputatie moet zijn... Wat dacht je van de "mozilla with very large fonts" vulnerability waarbij men t/m versie 0.9.9 X-Window System plat kon leggen... Maar ook daar gold een simpele fix:
Users can protect their systems from crashing by setting rlimits on the X Window System and font servers.
Betekend nog niet dat je niet moet updaten! Dat kun je beter wel doen. En ach, er zijn scenario's dat dit inderdaad vervelend kan zijn.

Femme gebruikt Mozilla, dat zie je aan x'n avatar op GoT. Nou, als de nieuwe T.net dan nog niet af was en je had geen wachtwoord nodig om te testen en er zat een ernstige programmeerfout in de testversie waardoor je access op de server kan krijgen dan kon jij dat zo uitvinden op deze wijze.

Niet persee voor T.net, geldt voor andere sites uiteraard ook. Dus icm. met een andere beveiligingsfout zoals ik aangaf zou dit best tot problemen kunnen lijden.
... en je had geen wachtwoord nodig om te testen...
Dat zou dan ook wel héél slordig zijn, niet ;)

De development versie van de nieuwe lay-out en de nieuwe functionaliteiten hebben in ieder geval structureel achter een ouderwets .htaccess wachtwoord gezeten :P
Nou dat is weer lekker dan... voor zover ik het weet zijn Mozilla gebruikers vooral de mensen die altijd zo hard roepen dan MS zo slecht voor je privacy is... en hier kan je het niet eens UITZETTEN tenzij je JavaScript weghaalt... ja kan je net zo goed niet naar het web gaan... zo goed als elke pagina gebruikt tegenwoordig een of andere vorm van JavaScript.

Ik noem er maar 1... Tweakers.net?
mwah, opzich is er al een fix uit...(zie /.)
Misschien moet je maar es kijken hoelang het duurde voordat het ssl-lek in internet explorer/outlook express was gefixed (duurde 2 maanden). Konqueror had dezelfde bug, fix -> 60 mins later zat ie in de cvs...
en daar heeft jou vader (om maar een voorbeeld te geven) wat aan? juist helemaal niets.

als je cvs tegen hem zegt krijg je als reactie "HUH!"

en als je na iedere bugfix je browser moet gaan patchen/compilen word je zelfs als advanced user ook niet vrolijk.

daarom het volgende verzoek:
kunnen amd/intel "andere software"/microsoft en flamebait's nou eens afgelopen zijn. ik word er namelijk een beetje moedeloos van. enorm geblaat in de marge
> Als jouw vader een videorecorder koopt, kijkt hij zeker ook niet > eerst in de handleiding?

> CVS is één van de allereerste dingen waarmee je in aanraking
> komt als je bijvoorbeeld Red Hat Linux draait.

?

Dat is echt, echt ontzettende onzin. Ik heb voor de grap dan maar meteen even gezocht op cvs op http://www.redhat.com en dit was m'n eerste hit http://sources.redhat.com/ecos/anoncvs.html. Omdat ik niet verwacht dat jullie allemaal die link gaan lezen, zal ik wat citeren:
The anonymous CVS repository contains the latest version of our master internal repository and is generally updated on a weekly basis. However, users should note that these updates have not been rigorously tested and cannot be guaranteed to build or function correctly.
Als je het vergelijkt met een videorecorder, is het alsof je in de handleiding verwezen wordt naar de fabriek, waar obviously de laatste updates te vinden zijn. Helaas garandeert de fabrikant niet, dat dan je videorecorder nog werkt, of zelfs in een geheel terugkomt. (ok, niet helemaal een strakke analogie, maar you'll get my drift).

Als je bij het gebruik van RedHat of enige andere distributie CVS een van de eerste dingen is die je tegenkomt, dan hebben die distributies nog een lange, lange, lange weg te gaan.

Verder is het verre van makkelijk hoe je je uit CVS getrokken en zelf gecompilede progjes integreerd in je packet managing systeem; de uiteindelijke reden waarom je sowieso een distro gebruikt en niet alles zelf bouwt. (http://lfs.sourceforge.net)

Man hee, als CVS een van de eerste dingen is die je tegenkomt , zet ik liever m'n geld in op dat Microsoft een nieuwe windows versie uitbrengt met een Hurd kernel dan dat lusers tevreden en functioneel kunnen zijn met Linux.
en als je een echte diehard ben ga je de nightly builds compilen onder windows om echt up to date te zijn...
Hoe doe je dat, een nightly BUILD compilen?? :)

Anyway, een 'fix' is het natuurlijk niet. JavaScript uitzetten wil niemand. En het feit dat een HTTP_REFERRER wordt doorgestuurd heeft een reden, dus uitzetten wil je het ook niet. OnUnload is er ook voor een reden dus dat wil je ook niet uitzetten. (okee, toevallig zijn zowel onunload als http_referrer uitvindingen van de duivel, maar het staat vast wel in een of andere RFC beschreven)

Het is een tijdelijke 'workaround' op z'n hoogst. Als er een redirect vanuit een script (onunload of wat dan ook) plaatsvind, of op wat voor manier dan ook een url geladen wordt via een script, dan zou de url van de pagina waarin dat script draait als referrer doorgegeven moeten worden. Maar misschien kan ik dit beter bij bugzilla melden ipv hiero.
en als je na iedere bugfix je browser moet gaan patchen/compilen word je zelfs als advanced user ook niet vrolijk
Ik update na elke security related bugfix (niet alleen in mijn browser, maar in alle software) ja. Dat gaat als volgt:
Ik typ in "apt-get update; apt-get upgrade" en druk op enter. Minuutje of 5-10 wachten, en we zijn weer klaar. Zelf patchen en compilen doe ik voor zulk soort doeleinden niet.

Nounou, dat klinkt wel alsof het veel werk is en onbegrijpelijk is.
als je cvs tegen hem zegt krijg je als reactie "HUH!"
Als jouw vader een videorecorder koopt, kijkt hij zeker ook niet eerst in de handleiding?

CVS is één van de allereerste dingen waarmee je in aanraking komt als je bijvoorbeeld Red Hat Linux draait.

Sja, als je dan een oudere versie van Linux draait moet je niet zeuren. Je gaat toch ook niet zeuren als je Windows 3.11 draait en iemand begint over de automatic upgrade functie?
daarom het volgende verzoek:
kunnen amd/intel "andere software"/microsoft en flamebait's nou eens afgelopen zijn. ik word er namelijk een beetje moedeloos van. enorm geblaat in de marge
Begin eens bij jezelf, zou ik zeggen.

edit:


Ik gebruik zelf ook gewoon IE. Wat ik nogal slecht vindt van Microsoft is dat ze bugs gewoon opsparen en pas melden dat er een bug in IE zat als ze de fix al hebben. En dat wil nog wel eens 3 maanden duren. Dus een bug is dan al 3 maanden bij M$ bekend, maar omdat ze 3 maanden over een fix doen zeggen ze er maar niks van om geen slapende honden wakker te maken. DAT is het probleem met Microsoft en IE, niet DAT IE buggy is, maar dat M$ er zo belachelijk mee omspringt.

en als je Mozilla onder windows draait?

het gaat er mij om dat de gemiddelde gebruiker niets heeft aan sources van programma's
jij en ik weten daar wel mee om te gaan (nietemin doe ik niets met cvs sources omdat ik gewoon lui ben :z)

/edit
je kan overstappen naar mozilla onder windows.. is bijna net zo recent als de linux gecompileerde versie

en als je een echte diehard ben ga je de nightly builds compilen onder windows om echt up to date te zijn ;) :D
Volgensmij is hier iemand in de war met VHS en CVS :P

(btw, ik heb geen flauw id wat cvs nu is... :S)
Maak je niet zo druk.

- Een kwaadwillende site zou kunnen zien wat de volgende site is die je bezoekt. O, o, wat erg! Bij MS zijn ze wel wat ergere privacy problemen gewend. Ze zouden dit waarschijnlijk niet eens erkennen als een probleem.
- Boven het lijstje met dingen die je kan doen staat: pick one: Dat betekent dus dat je niet al die dingen hoeft te doen. Je hoeft dus niet javascript uit te zetten als je 1 van de andere opties kiest. Je hoeft niks te patchen, opnieuw te compilen of te updaten (en nieuwe EULA's door te lezen :-) ). Je kan gewoon een tekstbestandje aanpassen en je probleem is verholpen.

Ik denk dat ik hierna eens naar www.osnews.com ga surfen ... oops, dat was geheime informatie.
Nou dat is weer lekker dan... voor zover ik het weet zijn Mozilla gebruikers vooral de mensen die altijd zo hard roepen dan MS zo slecht voor je privacy is
Mozilla:
Een kwaadwillende website kan zien naar welke website je toesurft als je van hun pagina weggaat. (dus geen files op je systeem lezen, geen SSL data, cookies of whatever uitlezen, geen progs op je systeem lezen, niet eens zien wat je verstuurt, alleen de URL waar je na hun website heen gaat).
Toegegeven, dat is een bug, en die moet gefixt worden, maar een ernstige bug kan ik het niet noemen.

IE:
Lees deze pagina. Dat is een pagina die bijhoudt hoeveel ongepatchte security exploits er in (de laatste versie van) IE zitten.
Huidige count: 19.
Dat houdt dus in dat als je met IE surft, je op 19 verschillende manieren geexploit kunt worden (of meer, als je niet de allerlaatste versie met de laatste security updates hebt).


Conclusie:
Nee, Mozilla is niet perfect. Maar qua security wel verreweg superieur.
Nauwelijks een bug te noemen en simpel te verhelpen (je hoeft echt javascript hier niet voor te disablen).
Edit user.js

user_pref("capability.policy.default.Window.onunload", "noAccess");

En opgelost, was trouwens al een poosje bekend.

Makkelijk he, deze browser kun je tenminste aanpassen.
Dus als je van een browser niers afweet webdoc, zeg er dan ook niets over.
voor zover ik het weet zijn Mozilla gebruikers vooral de mensen die altijd zo hard roepen dan MS zo slecht voor je privacy is
Als IE net zo weinig security-related bugs zou hebben als Mozilla zou je volledig gelijk hebben. Voorlopig moet je je IE wekelijks updaten om nog een beetje veilig te kunnen surfen, nu kan een site alleen zien waar je na die site naar toe gaat. Wauw, heftig.

Kom maar terug als er een maand lang geen updates zijn geweest voor IE, dan praten we dan weer verder :)
Alsof IE zo goed en veilig is. Zie ook eens op onderstaande link het artikel 'IE 6 nog steeds vol lekken' op WebWereld;
http://www.webwereld.nl/nav/nb?12455
ik weet niet waarom deze post een -1 first post hoefde te krijgen . Van mij een inzichtvol. lijkt me meer op zijn plaats. 1st lezen dan pas modden. En niet blind: 1e dus een -1 modden.
eerst stond er alleen maar Nou dat is weer lekker dan...
(keb er geen screenshot van, sorrie)
dat vind ik wel een reden om een -1 first post te modden.
wat er nu staat vind ik wel weer beter (ik wil mn mod best intrekken...)

edit:
deze post is trouwens off-topic
<off-topic>
maakt me verder niet uit, maar het bericht is niet ge-edit zover ik kan zien.
</off-topic>
[nog meer offtopic]
ik weet ook niet hoe, maar eerst stond er dus echt; Nou dat is weer lekker dan...
maargoed, dit is nou niet echt de plaats om het over dit soort dingen te hebben.
[/nog meer offtopic]
Dat ligt dan toch echt aan jezelf, heb hier al een half jaar IE6 onder windows XP en ik ben tot nu toe er 1x uitgeklapt.
Ja, maar *ik* heb een legale (dus ervoor betaald) Win98 met MSIE5.5 en die crasht wel. Is toch belachelijk dat ik gedwongen zou zijn om ofwel te investeren of allerlei fratsen uit te halen om die illegale XP versie te gebruiken, alleen omdat de produkten waar ik voor betaald heb niet doen wat ze horen te doen? Maar dat offtopic.

Ik gebruik meestal (afgezien van bv. tweakers.net) Mozilla met *alles* uitgeschakeld (incl. Javascript en plaatjes) zodat pagina's lekker snel laden op mijn telefoonmodem. Ben ik ook af van al die irritante popups, tekstjes in de statusbalk, enz.

Aan de andere kant, er zijn slechts weinig mensen die Mozilla gebruiken, dus lijkt het mij minder ernstig dan een IE bug.
Erg erg is dit lek niet (zie oa. de discussies op /.), sterker nog, het lijkt erg op de functionaliteit van http-referrer.
IMO dus niet iets waarvan je kunt zeggen dat het een grote bug is.
niet helemaal waar, want wat er dus mis gaat is dat bij het "ont laden" van een pagina iets geladen word dat de nieuwe locatie mee krijgt, terwijl eigenlijk de oude locatie gebruikt moet worden omdat dat stuk javascript nog in die oude omgeving moet draaien.
Het is bijna een slordigheids foutje.
In opensource-land blijven dit soort bugs niet langer dan een dag bestaan...

Maar dan blijft het voor de gebruiker wachten op de eerstvolgende stable release die de patch implementeert.
De kans dat "hackers" hier daardwerkelijk gebruik van gaan maken lijkt me klein, omdat een vrij kleine groep Mozilla gebruikt (helaas). Daarbij komt nog dat dit toch niet echt behoorlijk interesante info is voor een hacker...

Beetje loos alarm imho.
"Ongevaarlijke bug in Mozilla" zou een beter topic-titel zijn.
Zoals FirePower al zei, ik dacht ook dat mijn favo browser ook al spyware aan boord had.
Achja, zie het probleem niet. Ik heb JavaScript OnUnload standaard uit staan overal. Dan heb je al die domme popups niet enzo, een site hoort niets meer te doen als je hem afsluit, dan krijg je dit soort onzin. Change Status bar info en Open Unrequested popups staan ook uit. Geeft niets dan ellende die javascript features.

Kortom, Mozilla rules :P
Het lijkt fokzine wel :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True