Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Autocomplete-functies in browsers zijn onveilig'

Volgens een beveiligingsonderzoeker kan de autocomplete-functie die veel populaire browsers hebben, worden gebruikt om persoonlijke gegevens te ontfutselen. Om exploits tegen te gaan, zou de functie moeten worden uitgeschakeld.

Jeremiah Grossman van WhiteHat Security zal op de Black Hat 2010-conferentie, die deze week in Las Vegas wordt gehouden, een lezing geven onder de titel 'Breaking browsers: hacking auto-complete'. Volgens de beveiligingsonderzoeker is het mogelijk om via exploits informatie uit de autocomplete-functie te halen. Veel browsers passen deze functie toe, zodat gebruikers webformulieren sneller kunnen invullen.

Grossman zegt afzonderlijke exploits voor autocomplete te hebben gemaakt voor Internet Explorer 6 en 7, Safari, Chrome en Firefox. Een bug die Grossman in Internet Explorer 8 had aangetroffen zou al eerder zijn gevonden, maar Microsoft zou het gat nog niet hebben gedicht. Behalve persoonlijke data als adressen of e-mailadressen zou het in bepaalde gevallen ook mogelijk zijn om wachtwoorden of bankgegevens buit te maken.

Volgens de beveiligingsonderzoekers zijn de tools die hij gebruikt om de fouten in de autocomplete-functie te gebruiken vrij eenvoudig. Ook zou Grossman de browserbouwers over de problemen hebben geïnformeerd. Totdat de bugs met patches zijn gedicht, is het voor internetsurfers veiliger om deze functie geheel uit te schakelen, zo stelt hij.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Dimitri Reijerman

Redacteur

Feedback • 28-07-2010 15:16 59

28-07-2010 • 15:16

59 Linkedin Google+

Lees meer

Microsoft begint ontmoedigingscampagne IE6 Nieuws van 5 maart 2011
Microsoft waarschuwt voor stylesheet-bug in Internet Explorer Nieuws van 23 december 2010
Onderzoeker publiceert 'ernstig' lek in IE8 Nieuws van 6 september 2010
Microsoft: IE9-bèta komt in september Nieuws van 30 juli 2010
Secunia: Apple-software bevat de meeste lekken Nieuws van 24 juli 2010
Mozilla verhoogt beloning voor lekvinders Nieuws van 2 juli 2010
Beveiligingsbedrijf toont lekken in smartphonesoftware Nieuws van 1 juli 2010
Privégegevens op straat na lek Wksuperpool-site Nieuws van 24 juni 2010
Onderzoeker: bugs in malware-kits geven kans op tegenaanval Nieuws van 20 juni 2010
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen Nieuws van 10 april 2010
'Exploit Safari kan voor jailbreak iPhone-OS zorgen' Nieuws van 31 maart 2010
Microsoft: lek in IE gebruikt bij aanvallen op Gmail Nieuws van 15 januari 2010
Meer producten en artikelen
Browsers Netwerk en systeembeheer Privacy Beveiliging Hackers

Reacties (59)

-Moderatie-faq
-159055+142+23+30Ongemodereerd3
Wijzig sortering
+2Willem-Jan1991
28 juli 2010 16:30
Apple heeft zojuist een nieuwe versie van Safari uigebracht (5.01 voor Windows, Leopard en Snow Leopard en 4.1.1 voor Tiger).
Hierin is het autocomplete feature beter beveiligd. En verder nog wat verbeteringen aan webkit. Ook de extensies zijn geactiveerd. http://extensions.apple.com/

[Reactie gewijzigd door Willem-Jan1991 op 28 juli 2010 16:33]

+1Azerox
28 juli 2010 15:19
We weten allemaal dat alle browers/OS;en vol met lekken zitten, die waarschijnlijk op dit moment zelfs misbruikt worden, maar waar niemand nog iets van weet.

Vind dit dan ook geen raar bericht.
+2bartvb
@Azerox28 juli 2010 15:22
Tweakers.net is ook geen rariteitenkabinet :+

Overigens heeft hij deze man een proof of concept online gezet voor Safari:

http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu :)
+1LooneyTunes
@bartvb28 juli 2010 18:35
http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu :)
Searching "name":
Searching "company":
Searching "city":
Searching "state":
Searching "country":
Searching "email":

En dat met Safari op Win7 (met autofill niet uit).. Hier kan ik mee leven ;)
+1onex77
@LooneyTunes29 juli 2010 01:05
Ik weet niet hoor, maar voor zover ik kan beoordelen is dit alleen user-facing, en heeft de server daar geen enkele toegang toe. Kan me zelfs amper voorstellen dat JS hier toegang toe heeft,, dan zou 't eventueel wel via 'n AJAX-tooltje naar de server verstuurd kunnen worden, maar lijkt me dus heel sterk. Ik lig hier niet wakker van, en hou m'n autocomplete lekker aan :P.
+1grwl
@bartvb28 juli 2010 16:44
Het enigste wat ze vinden is mijn naam en het land waar ik woon.
Jammergenoeg(?) kunnen ze dit ook perfect te weten komen als ik ze een mail stuur.
Voor de rest, ik vind het zoals bij veel dingen, ik heb het liever aan staan. Je kan het uitzetten, maar dan gaat er weer een deel confort en gemak verloren.
Je kan natuurlijk altijd naar iets gaan zoals 1password. Al weet ik niet of dat dan weer ook zo hackveilig is...
+1afterburn
@bartvb29 juli 2010 07:00
Heb het geprobeert (Safari 5.01, OSX 10.6.4), maar geen resultaat. En voor dit soort dingen ga ik iig niet mijn leven moeilijker maken. Ik let op wat voor sites ik bezoek en een beetje gezond verstand gaat verder dan een hoop exploits.
0desalniettemin

@bartvb28 juli 2010 15:25
En hoe zet je dat dan uit?

Ik gebruik Firefox 4.0 b2 :)
+1Fidesnl
@desalniettemin30 juli 2010 02:19
Op dit soort momenten vraag ik me altijd af: 'Waarom gebruik jij een beta!?'

Niet echt zeer verrassend nieuws. En ik maak me er ook niet druk om, want volgens mij is 90% van de dingen die ik daar invul ook wel terug te vinden op hyves (en dan heb ik het over de privé gegevens die ik daar invul, zoals woonplaats e.d.)
+1Facer
@desalniettemin28 juli 2010 15:27
In Firefox 3.6.8 en is denk ook nog wel van toepassing op 4.0 b2 is het:

Extra --> Opties --> Privacy --> Firefox zal: Aangepast instellingen gebruiken voor geschiedenis. Checkbox uitvinken met de beschrijving: "Zoek- en formuliergeschiedenis onthouden".
0onex77
@gassiepaart29 juli 2010 01:03
Als je 't antwoord paraat hebt, of je hebt uberhaupt geen principiële bezwaren tegen het helpen van anderen, dan geef je toch effe antwoord? Merk ook in het forum vaak dat mensen 10 seconden die ze aan 'n antwoord kunnen besteden en daarmee iemand kunnen helpen, liever besteden aan "Google 't effe", en af en toe zelfs ronduit botte opmerkingen. Ik begrijp 't ergens wel, maar vriendelijk is anders.

[Reactie gewijzigd door onex77 op 29 juli 2010 01:03]

0BaRF
@bartvb28 juli 2010 16:48
wat zou die knop moeten doen? Hier met ie8 gebeurd er niks in elk geval :P
+1PaulBloem
@Azerox28 juli 2010 15:20
Geen raar bericht, maar wel een handig bericht..
+1wootah
@PaulBloem28 juli 2010 15:27
pff... alles wat je opslaat is vatbaar voor hackers...
autocomplete is niks anders dan dingen op slaan...
dus voor mij komt dit niet uit de lucht vallen :/
+1Soldaatje
@wootah28 juli 2010 15:37
Nou voor mij wel, het is toch iets voor de gebruiker niet de dat de server even kan meekijken.
Het zijn geen cookies ofzo.

[Reactie gewijzigd door Soldaatje op 28 juli 2010 15:41]

+1tss68nl
@Azerox28 juli 2010 16:29
Jah, ik vind het ook een beetje een Stichting Open Deur publicatie van deze onderzoeker. Wel leuk dat hij de moeite heeft genomen om een proof-of-concept te bouwen.

Maar goed. Iedereen met een beetje computer verstand snapt dat als je passwords gaat opslaan in je browser welke deze dan vervolgens automatisch doorgeeft aan de doelpagina, dat inherent onveilig is. Liever houdt je zelf de controle over het invullen van je passwords.
+1Mar2zz
@tss68nl28 juli 2010 18:44
Behalve het feit dat je passwords dan 24/7 blootgesteld zijn aan het internet (mits je pc en browser aanstaat), is het daadwerkelijke moment van invullen met de hand net zo onveilig als dit geautomatiseerd doen.
0Jaap-Jan
@Mar2zz28 juli 2010 21:13
Wel dus. :(

[Reactie gewijzigd door Jaap-Jan op 28 juli 2010 21:20]

0Luminair
@Azerox29 juli 2010 13:27
Wel apart eigenlijk; laatst waren er meerdere berichten dat alleen Apple's Safari dit deed, die heeft het in 5.0.1 weer gefixt.

...Of toch niet?
+1sleezball
28 juli 2010 15:26
Hoewel de auto complete functies ook in Opera zitten wordt er in dit artikel niet over Opera gesproken.

Betekend dat nu dat Opera niet kwetsbaar is of hebben ze Opera niet meegenomen vanwege gebruikers aantallen..? Aangezien ik en veel mensen in mijn omgeving Opera gebruiken zou ik dat toch graag willen weten...
+2deathgrunt
@sleezball28 juli 2010 15:39
Opera kent geen strikte autocomplete...

Autocomplete houdt in dat er een soort van database wordt aangelegd van álle entries die je ooit in bv. een "name-field" heb ingevuld.

Bij Opera kan je onder "preferences --> form" maximaal één entry definiëren waarvan je wilt dat die automatisch naar bovenkomt in een overeenkomstig veld.

Maar als je een afwijkende entry in dat veld invoert, wordt dat de volgende keer niet automatisch aangevuld; een brute-force attack zoals in dit artikel wordt omschreven gaat bij Opera dus niet werken, omdat er maar één entry wordt onthouden.

[Reactie gewijzigd door deathgrunt op 28 juli 2010 15:39]

+1SMGGM
@sleezball28 juli 2010 15:35
Opera waarschijnlijk niet kwetsbaar omdat je daar op CTRL + ENTER moet drukken voordat de gegevens in de invoervelden komen te staan. Bij IE, Firefox enz staan de wachtwoorden er gewoon meteen als je op de website komt.

Waarschijnlijk als je de extensie secure login in Firefox gaat gebruiken dat je bij Firefox ook veilig bent. https://addons.mozilla.org/nl/firefox/addon/4429/
Is maar een gedacht hé, ben er niet zeker van :D

[Reactie gewijzigd door SMGGM op 28 juli 2010 15:37]

+1Hipska
28 juli 2010 15:23
op ha.ckers.org staat een proof of concept waar je kan testen wat die scripts dan allemaal over je kunnen te weten komen.
Edit: Blijkbaar enkel voor Safari (en Chrome?)

[Reactie gewijzigd door Hipska op 28 juli 2010 15:56]

+1Kiswum
@Hipska28 juli 2010 15:52
Aangezien er 2 mensen iets over de site zeggen had je er net zo goed (als dat nog niet is) een link kunnen neerzetten waarbij je spyware automatisch download.

Als je op een site als tweakers al op een link als hierboven klikt laat staan hoeveel mensen dat doen op een site als prikbord.startpagina.nl?
+1hostname
@Kiswum28 juli 2010 16:22
Behalve dan dat er geen spyware wordt gedownload...
+1DarkKnight
@Hipska28 juli 2010 15:55
Het werkt niet automatisch als je NoScript gebruikt. Ik moest handmatig ha.ckers.org rechten geven om javascript te mogen uitvoeren.

Oh, en ik zie dat het sowieso niet werkt op FF (zie demonic reply feitelijk). Maargoed, geeft aan dat NoScript toch best wel handig is.

[Reactie gewijzigd door DarkKnight op 28 juli 2010 15:56]

+1Keypunchie
@DarkKnight28 juli 2010 16:16
Tsja, ik heb op NoScript dan weer ingesteld staan dat een domein dat ik bezoek zelf wel automatisch scripts kan uitvoeren (dus alleen beveiliging tegen cross-scripting).

En dan nog blokkeert NoScript vaak toch net iets te veel functionaliteit en zit ik ermee te klooien

Het is in ieder geval geen programma dat mijn vader en moeder kunnen gebruiken tijdens het surfen.
+1Dick
@Hipska28 juli 2010 17:10
Dat script doet toch niks anders dan de aanwezige autocomplete entry's aan mij te laten zien? De gegevens worden nergens opgeslagen of later weergegeven, serverside is er dus helemaal niets te zien lijkt mij...

Daarbij lijkt het mij dat iedereen moet kunnen snappen dat dat soort gegevens te achterhalen zijn, maar who cares? Wie mijn naam, adres, telefoonnummer, geboortedatum etc. etc. willen weten kan simpelweg even googlen of op hyves ed. kijken. Waarom zou het mij uitmaken dat iemand die gegevens van mij heeft?
+12playgames
@Dick28 juli 2010 17:16
Dit script laat ze alleen zien, maar een kwaadaardig script kan ze naar de server sturen om op te slaan.
+1Soldaatje
@Hipska28 juli 2010 15:36
Nou ik weet niet wat ik moet doen, er staat "name" en een textbox, vervolgens een page not found error, in het adres staat ook iets over safari ik heb firefox, misschien dat dat het is.
+1demonic
@Hipska28 juli 2010 15:39
op FF en opera krijg ik niks te zien.(behalve searching "name" enzo.)

op IE8 krijg ik onderaan in de statusbalk, fouten op de pagina...
+1PaulBloem
28 juli 2010 15:20
hmm dat is wel erg jammer.. want ik vind het wel erg prettig werken... denk aan vaste gegevens als adressen en dergelijke.. (nu snap ik ook gelijk waarom ik het moet uitschakelen ;) )
+1RoadRunner84
@PaulBloem28 juli 2010 15:56
autofill is altijd het tweede wat ik uit zet in een vers geinstalleerde browser, het eerste is wachtwoorden onthouden :)
+1rookie no. 1
28 juli 2010 15:52
Och dit is al zo bekend en logisch. Maar owee als ik deze instellingen voor zakelijke of privé personen uitschakel. Dan is de hel te klein!

Gebruiksgemak gaat voor alles... 8)7
+1stresstak
@rookie no. 128 juli 2010 16:26
Dat is dan ook waarmee alle spionnen van de overheid, google, etc schermen. Kijk eens wat handig voor je: autocomplete, auto-inlog, alle databases gecombineerd tot 1, 1 pasje voor alles, 1 sofinummer voor alles. En dan hebben ze je. Dan geef je alles onbewust en onbedoeld door aan eenieder die jhet maar weten wil.
+1Gammort
29 juli 2010 01:36
Het verbaast me niets, ik twijfel al sinds het bestaan van deze functie over de veiligheid ervan. Als het wordt opgeslagen dan is er altijd wel een manier om er toegang tot te krijgen. Dat geldt niet alleen voor de auto-complete functie.
+1blorf
@Gammort29 juli 2010 09:47
Niet mee eens. Het gaat om data die alleen dient om de werking/gebruiksvriendelijkheid van een browser te verbeteren. Ik heb me nooit met browserontwikkeling beziggehouden, maar is het niet gewoon een kwestie van slecht programmeren als een browser zomaar bepaalde gegevens die puur intern bedoeld zijn van buitenaf bereikbaar maakt.
Er zit blijkbaar een achterdeur op een plaats waar zoiezo geen deur nodig was.
+1morrowyn
28 juli 2010 15:27
Geniaal hoor. Dankzij dit kat en muis spel worden de systemen steeds veiliger en de lat wordt dan weer hoger gelegd voor de hackers en speurders.

Al met al een goede ontwikkeling dus.

Nadeel is alleen als jij het lijdend voorwerp in het geheel bent, want id fraude is gewoon lijden.
+1Pjotr
28 juli 2010 15:29
Het is sowieso af te raden om autocomplete te gebruiken voor zaken als de inlogcodes van je bank, passwords etc. ook als je computer ( tijdelijk) in vreemde handen valt.
+1AHBdV
28 juli 2010 16:28
Zelfs zonder exploit is een autocomplete functie enorm gevaarlijk... Zie dat bij ons op het werk, waar je nog steeds kunt inloggen op een wiki website met het account van iemand die al maanden bij ons weg is. Simpelweg omdat zijn username & password in de autocomplete staan....

Je moet dus sowieso nooit belangrijke gegevens in een autocomplete zetten. Dat de autocomplete functie ook nog te hacken valt, is wat dat betreft totaal niet interessant...
1 2 3

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True