Ontwikkelaar maakt vrijwel niet te verwijderen cookie

Hacker Samy Kamkar zegt een methode te hebben ontwikkeld om cookies te plaatsen die niet of vrijwel niet zijn te verwijderen. Met de methode worden onder meer cookies geplaatst in de rgb-waarden van png-bestanden en in Flash-objecten.

Normaliter worden cookies verwijderd wanneer een gebruiker daartoe opdracht geeft, maar de Evercookie van ontwikkelaar Samy Kamkar zou in dat geval blijven bestaan. Zijn tool, in feite een javascript-api, plaatst een waarde niet alleen in een http-cookie, maar gebruikt ook zeven andere locaties om deze op te slaan. Het verwijderen van standaard-http-cookies heeft hierdoor geen zin; deze worden gewoon teruggezet als de Evercookie ziet dat een cookie is verwijderd.

Een van de methoden die Kamkar gebruikt om cookies te plaatsen is via zogeheten local shared objects in Flash, een methode die al langer bekend is en ook wel wordt aangeduid met Flash-cookie. Deze cookies zijn lastig te verwijderen. Kamkar ging echter verder; hij zet de inhoud van een cookie bijvoorbeeld om naar rgb-waarden, die door de browser als png-bestand worden gecached. Met behulp van een '304 Not Modified'-header en slim gebruik van de html 5-canvas-tag kan de waarde van het png-bestand weer worden uitgelezen.

Ook slaat de Evercookie de waarde van een cookie als internetadressen op in de browsergeschiedenis, die met behulp van een css-hack kan worden uitgelezen. Verder worden enkele aanvullende html5-methodes gebruikt om de cookie op te slaan. Zo lang de waarde van een cookie op een van de acht locaties aanwezig is, kan die op alle andere worden teruggezet. Kamkar wil in een volgende versie van zijn api ook ondersteuning voor Silverlight-opslag, http-etags en window.name-caching opnemen.

Kamkar zegt tegenover Threatpost zijn tool, die opensource is en door iedereen mag worden gebruikt, te hebben ontwikkeld om 'bewustzijn te kweken'. Hij zou de Evercookie in één dag hebben ontwikkeld.

IT-banen

Reacties (144)

vj_slof 23 september 2010 16:14

Je browser in sandbox draaien of je cookies naar een tijdelijke ramdisk schrijven moet toch genoeg zijn om deze ongein de nek om te draaien ?

Unipuma @vj_slof • 23 september 2010 16:30

Helaas, tenzij je als sandbox een aparte virtual machine bedoelt.

De LSO cookies worden bijvoorbeeld al tijdens sessies gedeelt (dus private browsing helpt niet), en er worden hier 'cookies' weggeschreven in andere objecten dan de direct herkenbare echte cookies (image cache, etc...). Dus tenzij je je harddisk snapshot, de browser start, en daarna terug gaat naar je snapshot, staan een aantal zaken nog steeds op je computer, en ben je dus te tracken.

Overigens, gebruik van NoScript onder FireFox lijkt alle mechanismes die hij gebruikt voor cookie herkenning te voorkomen.

SKiLLa @Unipuma • 23 september 2010 18:04

Je hoeft geen aparte VM te draaien, sandbox-tools als Sandboxie voldoen ook prima.

.oisyn Moderator Devschuur®

Beveiliging

@Unipuma • 23 september 2010 23:09

De LSO cookies worden bijvoorbeeld al tijdens sessies gedeelt (dus private browsing helpt niet),

Jawel hoor, net geprobeerd in Chrome in een incognito window. Als je de incognito window sluit, even wacht, en vervolgens een nieuwe opent en weer naar die site gaat dan is ook de LSO "cookie" undefined.

Mastermind

@vj_slof • 23 september 2010 16:25

Yup, dan wordt het inderdaad automatisch verwijderd als je Windows reboot.

Een RAM-disk is sowieso handig voor als je 4GB geheugen hebt en de Windows 7 32 bit versie draait, want dan wordt 1GB geheugen niet aangesproken.

Met dit freeware-programma kun je de 1GB geheugen toch gebruiken doordat deze een truuk gebruikt het geheugen tussen de 3 en 4GB in een RAM disk om te zetten.
http://www.jensscheffler....otte-ramdisk-in-windows-7

Op deze extra 1GB drive kun je je temp-files zetten zoals cookies, de cache van internet explorer enz. Maar ook je swap-file van Windows zou je hier op kunnen zetten. Het RAM is vele malen sneller dan welke SSD ook dus dit levert grote snelheidswinst op

Verwijderd @Mastermind • 24 september 2010 00:53

Heb je geen bal aan, want die ramdisk moet swappen met wel bruikbaar geheugen.
32bit Windows kan dat geheugen nl niet aanspreken omdat apparaten daar zitten, dus als je een ramdisk het laat gebruiken moet je gaan switchen in geheugen en dat is altijd beneden de 3GB.
Onmogelijk dat je hier iets gaat winnen.
Want je moet gaan bankswitchen, dus iets anders gaan swappen om ruimte te maken, en als je je swapfile er zet zal Windows geen 3GB kunnen aanspreken maar 2GB.
En neen Windows geeft dit niet aan!

Je kan met 32bit Windows en prgramma's nu eenmaal niet meer dan ~3GB gebruiken, leg je daar bij neer.
En neen 64bit Windows helpt geen kloten voor 32bit programma's!

Mastermind

@Verwijderd • 24 september 2010 08:37

Het werkt prima, ik gebruik het zelf ook.
Het gebruikt het niet adresseerbare geheugen tussen de 3 en 4GB door dit te remappen boven de 4GB m.b.v. geforceerde PAE-modus. De BIOS moet dit wel ondersteuen.

Het werkt zo, ik citeer:

Question is actually: How does it work? If Microsoft limits Windows to 3GB RAM how can this be extended?

Answer: Depending on the used hardware and BIOS configuration the non-usable memory between 3GB and 4GB (this is a area for reserved addresses for physical devices) is remapped to the area above 4GB.
Windows XP/Vista/7 32Bit editions are limited to 4GB RAM addresses so the memory above 4GB is just "unused".

The Gavotte RAMDisk is able to set the RAMDisk in the area above 4GB memory addresses and can enable the usage of this area for other purposes. I use the RAMDisk for setting my page file to this area but you can also use it for setting the TEMP folder or other stuff there.

Zo krijg je dus 3GB werkgeheugen plus een geremapte 1GB RAM-Disk.

Probeer het maar, je zult zien dat je geen geheugen kwijt bent, maar wel een extra 1GB RAM-disk hebt!

Stoney3K

Politiek en recht
Websites en community's
Internet

@Mastermind • 24 september 2010 10:25

Zo krijg je dus 3GB werkgeheugen plus een geremapte 1GB RAM-Disk. Probeer het maar, je zult zien dat je geen geheugen kwijt bent, maar wel een extra 1GB RAM-disk hebt!

... en als je, zoals hij zegt, de page-file weer in die RAM-disk gooit, dan heb je er effectief weer een GB aan werkgeheugen voor terug. Plus ook nog een mooie plek voor je temp-files.

Verwijderd @vj_slof • 23 september 2010 16:23

Niet alleen cookies, maar ook de cache, geschiedenis, cache van verschillende plugins, etc. Als je er maar 1 locatie mist waar de cookie opgeslagen kan worden kan de cookie dus 'overleven'.

Verwijderd @vj_slof • 24 september 2010 10:13

Ja maar dan mis je dus het voordeel van een cache...

hdv111 23 september 2010 16:13

Hacker Samy Kamkar zegt een methode te hebben ontwikkeld om cookies te plaatsen die niet of vrijwel niet zijn te verwijderen.

zoiets bestond toch al ?
door gewoon write protection op files te zetten dacht ik

[Reactie gewijzigd door hdv111 op 22 juli 2024 15:18]

Herko_ter_Horst

@hdv111 • 23 september 2010 16:19

Serieuze bugs als dit allemaal kan. M.n. de CSS-hack om de browserhistory te bekijken. Mag niet hopen dat dat ook nog eens cross-site kan...

offtopic:
"wright protetie"? Hoeveel fouten kun je maken in 2 woorden? Je bedoelt "write protection" denk ik.

[Reactie gewijzigd door Herko_ter_Horst op 22 juli 2024 15:18]

ERIKvanPAASSEN @Herko_ter_Horst • 23 september 2010 16:47

Dat is geen bug, maar 'by design'. Eigenlijk maakt dit het ook geen echte hack. Als je een link opneemt in een webpagina, dan krijgt deze de ':visited' css-attribuut, wanneer de bezoeker die url al eerder heeft bezocht. Dit is om de link het bekende paarse kleurtje te kunnen geven, in plaats van blauw.

CSS-attributen kun je uitlezen en bewerken met JavaScript, dat is heel gewoon. Echter brengt dit ook met zich mee dat je met deze methode kunt controleren of iemand een url heeft bezocht.

Je kunt echter niet, zoals het artikel doet vermoeden, in een keer de gehele browser history uitlezen. Je kunt alleen een url (of een lijst met url's) testen.

Verwijderd @ERIKvanPAASSEN • 23 september 2010 17:02

Waarvan je er een paar miljoen in een seconde kunt laden en testen...

kimborntobewild @Verwijderd • 24 september 2010 03:16

Als dat zo is, kan je dus in de praktijk eigenlijk wel gewoon de hele browserhistory uitlezen.
Je zet gewoon de top-1.000.000 sites in een bestandje, en hoppa... Heb je gelijk 99,999% van alle bezochte sites gevonden in één seconde. Meer dan genoeg om een veelzeggend profiel van 't bewuste IP-adres te maken.

Aham brahmasmi @Verwijderd • 24 september 2010 10:16

Waarvan je er een paar miljoen in een seconde kunt laden en testen...

Je kunt alleen controleren of bepaalde websites bezocht zijn en niet de inhoud van de history zomaar uitlezen. Tenzij je een dictionary van alle bestaande webadressen hebt en met brute force deze allemaal gaat controleren...

kimborntobewild @ERIKvanPAASSEN • 24 september 2010 03:00

Dat is geen bug, maar 'by design'.

Zeg maar 'een bug by design'....
Dat zijn de ergste bugs!

RM-rf @Herko_ter_Horst • 23 september 2010 16:40

die css-hack controleert of een bepaald url bezocht is.. mbhv de :visited-pseudo class...
door de hier toegekende kleur wer mbhv javascript op te vragen kun je controleren of een bepaalde url door de browser als 'visited' is gekenmerkt...

eigenlijk is het géén 'css-hack' omdat het juist volledig volgens de specs is en zelfs 'wenselijk gedrag', maar het kan dus ook gebruikt worden om 'state-gegevens' op te slaan in een geheugen buiten de cookie-cache om...

en ja, het kan gewoon 'cross-site' je kunt ook visited gegevens opvragen van domeinen buiten je eigen domein (omdat die op een pagina ook eventueel een andere kleur zouden krijgen als er een :visited'-pseudoclass ingesteld is; wel betreft het altijd een exacte complete URL)

[Reactie gewijzigd door RM-rf op 22 juli 2024 15:18]

Soldaatje @RM-rf • 23 september 2010 19:14

Dit lijkt me wel een serieuze bug of ontwerpfout.
Ben dan ook benieuwd op welke manier dit mechanisme wel wenselijk zou zijn.

Ook ben ik benieuwd welke browsers hier gevoelig voor zijn.

Jeroen @Soldaatje • 23 september 2010 20:55

Dit is al tijden bekend, volgens mij ondersteunen recente versies van Firefox al geen getComputedStyle meer (waardoor ze dus niet echt meer aan de standaard voldoen).

divvid @Jeroen • 23 september 2010 22:07

Precies, en da's knap lastig als je daar gebruik van probeert te maken, voor b.v. door javacript aangepaste SVG bestanden

.oisyn Moderator Devschuur®

Beveiliging

@Jeroen • 23 september 2010 23:07

Wat ook een dom lapmiddel is. Je kunt ook iets doen met offsetWidth of offsetHeight oid. Gewoon je visited links groter of kleiner stijlen dan non-visited links, waardoor de enclosing box groter wordt, wat je ook gewoon op kunt vragen. Nu hebben ze dus een verder zinnige feature uitgezet om iets tegen te houden wat ook wel op een andere manier voor elkaar te krijgen is.

Maak dan gewoon een browseroptie om cross-domain visited links niet als visited te behandelen. Niet dat ik die dan aan ga zetten overigens, ik vind het een beetje een storm in een glas water...

_eXistenZ_ @Jeroen • 23 september 2010 23:35

De standaard staat gewoon toe om dergelijke dingen in te bakken in het geval van een lek of een ander ernstig mankement, ergo ze houden zich nog steeds aan de standaard

ajakkes @hdv111 • 23 september 2010 16:17

Nee, want zelfs de cookies van Samy zijn te verwijderen. Echter is in dit script gebruik gemaakt van 7 (of 8 ) verschillende plaatsen die elk verwijderd moet worden.

Gebruik maken van LSO (flash-cookie) wat door 90% van de gebruikers ook niet wordt verwijderd bestond al langer.

Edit: smiley weg

[Reactie gewijzigd door ajakkes op 22 juli 2024 15:18]

Tukkertje-RaH @ajakkes • 23 september 2010 16:29

Ik ben er even mee aan het spelen geweest... Firefox met Noscript voor de site zelf is genoeg - maar dat maakt internet browsen tot een onaangename ervaring.

Als je Firefox configureert dat alle cookies na afsluiten moeten worden verwijderd, en daarna met ccleaner aan de slag gaat, was bij mij alles weg... Overigens wilde IE8 het cookie niet eens plaatsen, ook niet na compatibility view aan te hebben gezet. IE9 wilde het cookie ook niet hebben...

Wellicht valt het mee?

Overigens vind ik de methode die gebruikt wordt om een cookie in de browser history op te slaan wel erg slim. Via een listig uitvraagmechanisme kunnen trackers van verschillende lengtes met weinig moeite worden opgevraagd bij de browser

When evercookie sets a cookie, assuming the Web History caching is enabled, it Base64 encodes the data to be stored. Let's assume this data is "bcde" in Base64. Evercookie then accesses the following URLs in the background:
google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-
These URLs are now stored in history.When checking for a cookie, evercookie loops through all the possible Base64 characters on google.com/evercookie/cache/, starting with "a" and moving up, but only for a single character. Once it sees a URL that was accessed, it attempts to brute force the next letter. This is actually extremely fast because no requests are made to theserver. The history lookups are simply locally in JavaScript using the CSS History Knocker. Evercookie knows it has reached the end of the string as soon as it finds a URL that ends in "-".

[Reactie gewijzigd door Tukkertje-RaH op 22 juli 2024 15:18]

.oisyn Moderator Devschuur®

Beveiliging

@Tukkertje-RaH • 23 september 2010 23:03

Ik vond het gebruik maken van de cache ook wel mooi gevonden. Je laadt een resource (hij gebruikt een PNG) die met cookie wat data teruggeeft en in de header zegt dat het enorm lang gecached moet worden. Op het moment dat je het zonder cookie opvraagt dan geeft ie gewoon terug dat de resource niet gewijzigd is (waardoor de browser de resource uit z'n cache haalt)

Wat ik dan echter weer wel lomp vind is dat ie een PNG gebruikt. Dan heb je dus <canvas> support nodig om de data uit de PNG te kunnen decoden. Als ie nou gewoon een scriptje had gebruikt als resource dan had ie helemaal geen moeite hoeven te doen om de data uit te lezen en wordt het tevens in alle browsers ondersteund. Het mechanisme blijft dus hetzelfde, alleen de inzetbaarheid wordt enorm vergroot.

kimborntobewild @.oisyn • 24 september 2010 02:58

. Als ie nou gewoon een scriptje had gebruikt als resource dan had ie helemaal geen moeite hoeven te doen

Maar worden scripts niet veel vaker tegengehouden door beveiligingssoftware/instellinigen dan <canvas> zaken?

jacobvdm @Tukkertje-RaH • 24 september 2010 01:08

Ik denk dat je de strekking niet helemaal hebt begrepen. En Firefox zelf zal nooit Flash-cookies verwijderen, daar heb je een addon als BetterPrivacy voor nodig.

Als je NoScript echt niet fijn browsen vind dan moet je YesScript 's proberen.

Freee!!

@hdv111 • 23 september 2010 16:16

Write-protect is gemakkelijk genoeg weer te verwijderen.

DeArmeStudent @Freee!! • 23 september 2010 23:56

hij zet de inhoud van een cookie bijvoorbeeld om naar rgb-waarden, die door de browser als png-bestand worden gecached. Met behulp van een '304 Not Modified'-header en slim gebruik van de html 5-canvas-tag kan de waarde van het png-bestand weer worden uitgelezen.

Jaaaa!

Voor dit soort hocus-pocus met woorden kom ik graag op tweakers. Het leuke is: het klinkt goed, en het betekent ook nog wat...maar als je het mij zou vragen, zou ik je niet 1,2,3 kunnen vertellen waar we het hier over hebben...

$_/-\o_$ voel ik mij weer even lekker digibeet... $_/-\o_$

OddesE @DeArmeStudent • 24 september 2010 00:43

RGB = Red Green Blue... 24 bits... Dus daar passen grofweg drie ASCII letters in.

Wat hij doet is dus een plaatje genereren op de server waar data in verwerkt zit, geencodeerd als kleuren. Vervolgens geeft hij aan dat dat plaatje door de browser gecached mag worden. Bij volgende requests voor dat plaatje geeft hij alleen de header 304 Not Modified terug, waardoor de browser het plaatje uit de lokale cache plukt. Dit gecachede plaatje wordt als achtergrond van een HTML5 canvas element gezet. Het Canvas element is een speciaal element om op te tekenen vanuit javascript. Daardoor kan hij de kleuren van de individuele pixels uitlezen en de data weer decoderen.

RGB color model
Canvas 2D API Specification 1.0
Hypertext Transfer Protocol -- HTTP/1.1 - Status Code Definitions

darkfader @OddesE • 24 september 2010 12:39

Misschien kun je ook gewoon Content-MD5 gebruiken als tracking-id.
Anyway, het is wel een specifiek stukje code op een server. En de meeste tracking/ad servers kun je makkelijk blokkeren op basis van domeinnaam.

evonck @DeArmeStudent • 24 september 2010 08:01

je heet toch toevallig niet couprie he? :-D

varkenspester @DeArmeStudent • 24 september 2010 18:10

Kort door de bocht komt het er op neer dat je je browser wijsmaakt dat je cookie een prentje is.

[Reactie gewijzigd door varkenspester op 22 juli 2024 15:18]

Verwijderd @hdv111 • 24 september 2010 00:48

Het is gelul want een cookie is niet meer en minder dan en tekst-file, niet meer en minder.
Wat deze gast gebruikt is GEEN cookie.
Hij gebruikt gaten in browsers, vermoedelijk IE en Flash, denk niet dat deze onzin onder Linux gaat werken.

J.J.J. Bokma @Verwijderd • 24 september 2010 02:37

Een cookie is simpel weg data die een website op een of andere manier in je browser achterlaat dat bij een herbezoek uitgelezen kan worden. Niets meer en niets minder. En dus is dit ook gewoon een cookie.

varkenspester @Verwijderd • 24 september 2010 18:16

Dit zijn wel degelijk cookies:

"Cookies of magic cookies, zijn kleine beetjes informatie die een server naar de browser stuurt met de bedoeling dat deze informatie bij een volgend bezoek weer naar de server teruggestuurd wordt."

Of je ze nu in een tekstbestand opslaat of niet doet niet ter zake.

Verwijderd @hdv111 • 24 september 2010 00:59

Gelul, alles wat je aanklikt maakt hij ze weer aan.
Als je ze weg doet en je gaat op een andere website kijken zijn ze er niet.
Waar slaat deze onzin op?
Als ik cookies wegdoe in Linux zijn ze weg.

biert1982 23 september 2010 16:16

"Kamkar zegt tegenover Threatpost zijn tool, die opensource is en door iedereen mag worden gebruikt, te hebben ontwikkeld om 'bewustzijn te kweken'."

Nu hij bewustzijn heeft gekweekt, gaat hij nu ook een oplossing aandragen?

Het is goed dat hackers hun kunde inzetten om de veiligheid te vergroten op internet. Ik heb wel het idee dat het feit dat hackers steeds meer in de media komen met hun kunsten wel meer bewustzijn creeert, maar daarmee niet het probleem oplost.

Is deze hacker al naar browser makers gegaan om dit aan te kaarten?

Verwijderd @biert1982 • 23 september 2010 16:20

Ik denk dat het aan de browsermakers is om tot een oplossing te komen. Bijvoorbeeld alle plugins dwingen om gebruik te maken van een globale (binnen de browser) cache in plaats van dat iedere plugin met een eigen implementatie komt.

Daarnaast is het niet alsof deze persoon met iets nieuws komt ofzo. Er zijn maar weinig mensen die weten wat er wel niet allemaal in de flash-local storage word opgeslagen door verschillende sites en dat dit niet wordt verwijderd door de knop 'geschiedenis wissen'.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:18]

Verwijderd @Verwijderd • 23 september 2010 16:36

Bijvoorbeeld alle plugins dwingen om gebruik te maken van een globale (binnen de browser) cache in plaats van dat iedere plugin met een eigen implementatie komt.

Echter wordt er ook een techniek gebruikt die gewoon de cache van de browser gebruikt, en verder ook geen echt rare dingen doet. Kleur van een pixel inlezen via de canvas kan je bijvoorbeeld goed gebruiken in een tekenprogramma, dus die mogelijk helemaal eruit slopen (zoals ze met de a:visited styling hebben gedaan) gaat te ver.
Maar hoe wil een browserontwikkelaar dat dan regelen met de gebruiker? Een prompt a la "Deze site wil kleurwaarden van pixels in kunnen lezen. Mag dat?".. totdat mensen daar ook overal maar 'ja' voor aanklikken (argument dat gebruikt wordt tegen UAC e.d.).

Verwijderd @Verwijderd • 23 september 2010 16:40

Als je alles en iedereen dwingt om in dezelfde cache op te slaan, dan kun je die cache ook met een druk op de know leeggooien (dus cookies, afbeeldingen die gecached zijn, flash local storage, etc.) en dan is de cookie dus ook verwijderd. Het gaat er om dat het nu te versnipperd is allemaal en je dus altijd wel iets over het hoofd ziet en de cookie dan dus 'overleefd'.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:18]

Verwijderd @Verwijderd • 23 september 2010 18:43

Centrale opslag, dat snap ik - maar dat doet niet zoveel aan het cookie verhaal; je moet immers wel de cache altijd leeggooien.. of eigenlijk, helemaal geen cache hebben.

Bij jouw oplossing van het kunnen weggooien van alle cookies vanaf 1 plek zal je toch nog altijd zelf die cache leeg moeten gooien (die van mij gaat leeg bij afsluiten). Als je dat niet tijdens dezelfde sessie doet heb je dus effectief nog altijd die 'cookie'. Tussen twee domeinen is dat dan ook nog te gebruiken waardoor Site B weet of je bij Site A bent geweest.

YopY @Verwijderd • 23 september 2010 19:54

Als je alles en iedereen dwingt om in dezelfde cache op te slaan, dan kun je die cache ook met een druk op de know leeggooien (dus cookies, afbeeldingen die gecached zijn, flash local storage, etc.) en dan is de cookie dus ook verwijderd. Het gaat er om dat het nu te versnipperd is allemaal en je dus altijd wel iets over het hoofd ziet en de cookie dan dus 'overleefd'.

Maar zelfs dan voorkom je niet dat een stukje script een plaatje weg kan schrijven, niet zonder het gehele cachingmeganisme uit te zetten.

En zelfs dan, wat wil je doen met de biljarden websites die nu afhankelijk zijn van cookies en dergelijke?

bigbadbull @Verwijderd • 23 september 2010 18:21

Ik hoop dat crap cleaner met een oplossing komt die al deze crap locaties ook effectief schoonmaakt.
En feitelijk hoort het al in Ccleaner te zitten.

Soldaatje @Verwijderd • 23 september 2010 16:36

Dat is niet zo makkelijk; plugins worden niet beheerd of gemaakt door de browserfabrikanten maar door externen.

ajakkes @biert1982 • 23 september 2010 16:24

Het is geen hack. Het heeft niks met veiligheid te maken.

Het gebruik van verschillende van deze technieken wordt al door veel bedrijven gedaan. Het is dan beter om al deze technieken te bundelen zodat een browser-bouwer kan controleren of zijn browser tegen al deze methodes bestand zijn. Zeker bij inschakeling van private browsing (wat bij sommige browsers beschermt tegen deze evercookie).

fevenhuis @ajakkes • 23 september 2010 17:25

Het heeft in zoverre met de veiligheid te maken dat hij aantoont hoe m.b.v. verschillende methoden misbruik gemaakt kan worden van webbrowser functionaliteit.

Een website bezoeken is geen vrijkaartje om de privacy van gebruiker in gevaar te brengen. En er kan dus allerlei informatie in cookies worden opgenomen, inclusief de informatie die u liever privé houdt,

Op deze manier dwingt hij dus wel een discussie over het gebruik van cookies af en wellicht een zoektocht naar oplossingen voor dit soort problemen.

CAPSLOCK2000

Privacy
Internet
Websites en community's
Internettoegang
Politiek en recht

@ajakkes • 23 september 2010 17:25

Het is geen hack. Het heeft niks met veiligheid te maken.

Jawel hoor, hacken is veel breder dan het "computers kraken" wat de media er van maken.

http://catb.org/jargon/html/H/hack.html

Overigens heeft deze hack wel degelijk implicaties voor de veiligheid, al lopen de gevolgen voor de privacy meer in het oog.

YopY @CAPSLOCK2000 • 23 september 2010 19:55

Overigens heeft deze hack wel degelijk implicaties voor de veiligheid, al lopen de gevolgen voor de privacy meer in het oog.

Maar niet veel meer dan dat ze al waren. 99% van de gebruikers doet niks aan cookies of cookies verwijderen, en 99.9% zal niet eens van het bestaan van flash cookies af weten. Er zal misschien dus 0,1% mensen zijn die actief letten op cookies en dergelijke, en dat is een grove minderheid.

YaPP @biert1982 • 23 september 2010 16:22

Ik heb wel het idee dat het feit dat hackers steeds meer in de media komen met hun kunsten wel meer bewustzijn creëert, maar daarmee niet het probleem oplost.

Is deze hacker al naar browser makers gegaan om dit aan te kaarten?

en een eenmansprotest actie starten?

vol theoretisch geneuzel?

Ik geloof dat dit bewustzijn wat hij creëert tot meer in staat is!

[Reactie gewijzigd door YaPP op 22 juli 2024 15:18]

latka @biert1982 • 23 september 2010 17:01

Wat nou hacker en browsermakers. Als iedereen nou gewoon stopt met Flash en altijd met noscripts surft is er geen probleem maar dat willen we niet... we willen eigenlijk geen cookies maar wel dat iedere website je volledig op maat kan bedienen

Verwijderd @biert1982 • 23 september 2010 21:33

Dat publiekelijk bekend maken is meer een open sollicitatie naar mijn mening. Of noem het een portfolio uitbreiding. Ik keur het niet af, maar voor ben ik ook niet. Er zijn altijd mensen die er voordeel mee kunnen doen, net als dat mensen er nadeel van gaan hebben.

T-men @biert1982 • 23 september 2010 16:32

Kamkar bedankt voor het kweken van dit bewustzijn bij mij !

Ik ben me nu bewust van het probleen, maar ben geen prorgammeur van mijn browser, noch heb ik tools om me met het verkregen bewustzijn tegen een 'ever-cookie' te weren.

Wel hebben alle malverserende lui nu een prima tool in de hand om mij tot het uiterste op m'n huid te zitten.

Kamkar, wij zullen je eeuwig dankbaar zijn voor deze bijdrage aan de community

Vraagt zich af of het kweken van bewustzijn het werkelijke doel was, of was het Kamkar alleen maar om aandacht te doen ? *conclusie trekt*

Verwijderd @T-men • 23 september 2010 18:10

Bravo! Ben het ook spuugzat dat mensen alles maar naar buiten gooien. Natuurlijk waren al dit soort dingen al min of meer bekend maar we kunnen er nu zeker van zijn dat ze veel vaker gebruikt gaan worden. Beetje als het key bumpen van sloten. Dat was al langer bekend maar sinds er veel aandacht voor was zijn er veel en veel mensen de dupe van (geen schade, geen uitkering).

Als hij ECHT goed was (*een uurtje, tuurlijk) had hij het probleem aangetoond en ons een tooltje gegeven om ze op te sporen. Nu heeft hij slecht een nieuwsbericht op alle sites als Tweakers en zitten we allemaal met de problemen.

Obscurity was hier een heel effective beveiliging want voorzover ik kon nagaan was het nog niet 'in het wild' gezien. Wil je wedden data dat morgen wel zo is?

LX_Emergency @biert1982 • 23 september 2010 16:19

Waarschijnlijk wel, tegen een fix tarief.

Mathijs 23 september 2010 16:26

Kamkar zegt tegenover Threatpost zijn tool, die opensource is en door iedereen mag worden gebruikt, te hebben ontwikkeld om 'bewustzijn te kweken'.

En daarom moet het maar beschikbaar zijn voor iedere scriptkiddie die het wel zou willen gebruiken, maar het zelf niet zou kunnen maken?
Het bewustzijn dat dit soort dingen mogelijk zijn was er bij mij in ieder geval al lang, daar is geen nieuwe tool voor nodig.
Het bewustzijn dat deze man mist, is dat er wel degelijk een verschil is tussen mensen die dergelijke code in een dag kunnen maken en lui die de code vervolgens misbruiken voor allerhande doeleinden. Er is nogal een verschil in verantwoordelijkheid zou ik zeggen.
Ondanks het feit dat deze man erg slim zal zijn, vind ik dit toch een nogal domme actie van hem.

CAPSLOCK2000

Privacy
Internet
Websites en community's
Internettoegang
Politiek en recht

@Mathijs • 23 september 2010 17:29

Hij heeft niks bijzonders gedaan, al deze technieken worden al in het wild toegepast. Deze man heeft alleen aantal technieken gebundeld en laten samenwerken.

Hoewel het altijd beter is om dit soort problemen discreet op te lossen komt er een moment dat je naar buiten moet treden als de problemen niet worden opgelost. Dit gedoe met cookies speelt (in allerlei vormen) nu al meer dan tien jaar is nog steeds niet afdoende opgelost. Iedereen lijkt te denken dat de cookieblokker van 5 jaar geleden nog steeds afdoende is. Een publicatie als deze brengt iedereen weer bij de les.

Verwijderd @CAPSLOCK2000 • 23 september 2010 18:14

Hij heeft niks bijzonders gedaan, al deze technieken worden al in het wild toegepast. Deze man heeft alleen aantal technieken gebundeld en laten samenwerken.

Ja maar los van elkaar was het geen echt groot probleem, nu wel. Dat is bijzonder genoeg voor een nieuws bericht en een reactie van jouzelf. En als mijn cookieblokker van 5 jaar geleden niet meer voldoende is kan jij ons vast wel een nieuwere aanraden?
Een publicatie als dit heeft als eerste effect alleen een veel wijder gebruik . Jij noemt dat 'bij de les' brengen. Ik niet.

CAPSLOCK2000

Privacy
Internet
Websites en community's
Internettoegang
Politiek en recht

@Verwijderd • 23 september 2010 19:08

Ja maar los van elkaar was het geen echt groot probleem, nu wel. Dat is bijzonder genoeg voor een nieuws bericht en een reactie van jouzelf.

Dat is een cirkelredenering "Als je zegt dat iets niet belangrijk is dan is het dat wel want anders had je niks gezegd".

En als mijn cookieblokker van 5 jaar geleden niet meer voldoende is kan jij ons vast wel een nieuwere aanraden?

Dat is nu net het punt, die zijn er niet of nauwelijks (noscript FTW) terwijl het wel hard nodig is. De security-wereld heeft het er al jaren over maar de browserbouwers pakken het niet op. Helaas is het dan soms nodig om op een dergelijke agressieve manier de aandacht te vragen.

ajakkes @Mathijs • 23 september 2010 16:30

Het is maar een cookie hoor. En er zijn genoeg bedrijven die meer dan een van deze methodes gebruikt om je te volgen.

@lonlyworkhere: dus ziek persoon is erg overdreven.

Verwijderd 23 september 2010 16:20

Aangezien het een Javascript-API is, kun je dus gewoon Javascript uitschakelen?

brompot758 @Verwijderd • 23 september 2010 19:01

Al je firefox gebruikt dan kun je noscript gebruiken. Noscript zet default javasript ui behalve voor trusted sites. Noscript beschermt daarnaast ook tegen een heleboel van dirt soort grappen.

Franckey @Verwijderd • 24 september 2010 00:59

Ja, natuurlijk.... er zijn toch weinig sites die dat nodig hebben.

arjankoole

Beveiliging
Internettoegang

@Verwijderd • 23 september 2010 16:24

Yep

Stoney3K

Politiek en recht
Websites en community's
Internet

@Verwijderd • 23 september 2010 18:15

Je kan ook met Lynx browsen. Erg handig is het niet, veilig is het wel.

dgompie

@Stoney3K • 24 september 2010 14:36

Ik gebruik zelf telnet, ook redelijk veilig.

Verwijderd 23 september 2010 16:34

Gatverdamme die cookies mogen ze van mij wel gaan verbieden. Verschrikkelijk die dingen je bent zelfs op t inet niet meer veilig voor dit soort praktijken. Gelukkig heeft men altijd nog het geweldige Adblock plus

ZpAz

@Verwijderd • 23 september 2010 17:27

Cookies verbieden... mja ga jij elke keer inloggen op elke service waar je opnieuw komt? Er moet ergens getracked worden dat jij dat bent.

Vhond @ZpAz • 23 september 2010 20:39

Daar heb je sessies voor zonder gebruikmaking van cookies...

Erkens @Vhond • 23 september 2010 22:25

Welke veel onveiliger zijn... Een simpel linkje doorsturen wordt lastig zonder ook direct je sessie mee te sturen dan

hackerhater @Vhond • 24 september 2010 09:07

Zelfs sessies hebben doorsnee een cookie nodig
Je moet ergens de session-ID opslaan
Dat is of in een cookie (veiligst) of met de url meesturen (niet wenselijk)

Als zijn sessie-cookies onschadelijk. Die worden verwijderd zodra je de browser sluit

Verwijderd @ZpAz • 23 september 2010 17:55

Ja, maar als ik op tweakers.net automatisch wil inloggen wil dat nog niet zeggen dat ik ook wil dat Google Adsense en Google analytics dat ook meteen weten. Daarom worden al die Google cookies en scripts geblokkeerd door Ghostery.

leuk_he @Verwijderd • 23 september 2010 16:57

Met het verbieden is men dus druk bezig.

http://www.upstream.nl/blog/bericht/cookies

in de Europese telecom wetgeving komt dus te staan dat cookies zich aan de policies van de browsers moeten houden. Zoniet is de website fout (en dus illegaal) bezig.

(Ik vraag me alleen af wie die wetgeving gaat handhaven)

arjankoole

Beveiliging
Internettoegang

@leuk_he • 23 september 2010 17:23

(Ik vraag me alleen af wie die wetgeving gaat handhaven)

Jij, als gebruiker. En indien je dus een site betrapt die zich niet aan de door jou ingestelde policy kun je aangifte doen ergens.

(zelfde als met spam en opta)

haneev @Verwijderd • 23 september 2010 16:42

Adblock plus heeft relatief weinig te maken met cookies. En zonder cookies mis je een aantal zeer handige features. Zoals sessies (ingelogd blijven).

Verwijderd @Verwijderd • 23 september 2010 19:12

De regering kan moeilijk dwingen dat iedereen op de wereld zich aan een cookie verbod houdt

dat is gewoon onrealistisch.

Ik ben het wel eens dat cookies iets is dat uitgeroeid moet worden. Maar dat kan in een browser geregeld worden, gewoon alle cookies (inclusief 'cache' en andere verborgen cookies) weggooien na bepaalde tijd, bijvoorbeeld als een venster gesloten wordt.

Voor auto-login doeleinden moet maar iets anders worden bedacht dat transparanter is (Bijvoorbeeld een password cache, iets dat browsers al lang hebben. Dat is wel 1 hele keer extra klikken om in te loggen, maar met een extra API zou zelfs dat voorkomen kunnen worden).

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:18]

JW1

23 september 2010 16:24

Het komt op mij over dat er 8 cookies worden 'gedropt' in mappen als Cookies, Temporary Internet Files, History en de plek waar Flash zijn LSO's dropt. Zij het als plaatje of iets anders.
Wis je je Internet geschiedenis volledig en de LSO's (kan volgens mij met FireFox addon Better Privacy (alleen voor LSO's via Firefox denk ik) dan zijn alle cookies toch weg?

edit: afgekeken van post ajakkes: LSO -> flashcookie.

[Reactie gewijzigd door JW1 op 22 juli 2024 15:18]

Verwijderd @JW1 • 23 september 2010 16:47

het verwijderd wel je cookies maar het probleem is als 1 van zijn cookies merkt dat er 1 verwijderd is zet hij deze gewoon weer lekker terug waar hij stond ( vandaar de naam ever-cookie) hij kan allen verwijderd worden door het beveiliging van je browser OF zoals hierboven vermeld is op een ram flash disk te zetten die word geflashed als je je pc uitzet

dus met andere woorden mensen die geen verstand van PC's hebben moeten hulp in gaan schakelen van vrienden

mashell @Verwijderd • 23 september 2010 18:15

als 1 van zijn cookies merkt dat er 1 verwijderd is zet hij deze gewoon weer lekker terug

Maar dat is een actie die een txt file of png file niet kan nemen. Je moet dus een site bezoeken die deze verderfelijke cookies gebruikt en daar het script draaien dat alle reserve kopieen van de cookies weer hersteld.
Hier ligt trouwens wel een actie voor de browser fabrikanten, die moeten er voor zorgen dat als de gebruiker kiest voor "verwijderen prive gegevens" ook echt alle plaatsen waar deze opgeslagen worden, worden schoongepoetst.

mindwarper 23 september 2010 18:40

daarom gebruik ik nu ook Click&Clean addon voor Firefox
https://addons.mozilla.org/en-US/firefox/addon/3100/

Heb C&C preferences wel gekozen clear LSO cookies uiteraard
Ook kies ik voor close all tabs before cleaning, want dat staat als recommended in bovengenoemde URL (bij comments)

en daarnaast ook CCleaner

customised uiteraard

En om me tabs te saven in de sessie gebruik ik Session Manager addon erbij, maar die heeft met dit alles verder niks van doen

[Reactie gewijzigd door mindwarper op 22 juli 2024 15:18]

Fred83 @mindwarper • 23 september 2010 19:48

Een tweaker zou dat inderdaad op deze manier kunnen doen. Een gewone huis, tuin en keuken gebruik(st)er, verwijderd cookies (als hij/zij al weet wat het zijn en waar ze staan) alleen van de standaard locatie en raakt evercookies dus nooit kwijt.

mindwarper @Fred83 • 23 september 2010 21:37

Maar en "normale" gebrukker kan ook CCleaner installeren en regelmatig laten draaien...
Sterker nog dat is wat mijn moeder eigenlijk doet...

Dus met CCleaner alleen kan een "normale" gebruiker dat ook...
Ah ja moet je wel cookies cleaning zelf aangeven als vinkje o.i.d.

maarten12100 23 september 2010 17:28

dit is mischien iest heel positief's voor webpagina's of speletjes
Alle info opgeslagen in een cookie blijft bewaard (webshops en gamesite's hebben hier profeit van)

JOfferijns @maarten12100 • 23 september 2010 17:58

Dit kan ook al met gewone cookies.
Het enige verschil is dat als mensen het niet willen dan kunnen ze gewone cookies verwijderen en evercookies veel lastiger; niet echt gebruikersvriendelijk dus.

blouweKip 23 september 2010 17:29

Gewoon in incognito modus draaien (werkte iig bij safari, neem aan dat dit bij andere modere browsers ook werkt)

AlBundy @blouweKip • 23 september 2010 22:37

Als ik met incognito browse, en ik kijk vervolgens later in de flash settings, kan ik precies zien op welke sites ik ben geweest, zolang ze iets van flash op de site hebben staan.

Best schokkend nog, want het maakt de hele incognito mode waardeloos. Niet dat je precies kan achterhalen waar iemand precies is geweest, kan je wel zien dat iemand op youtube (of een andere videosite) is geweest.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (144)

Sorteer op:

Weergave: