Firefox 57 gaat gebruikers tegen data-url's beschermen

[Captain Kirk]

Mozilla gaat een beveiligingsmaatregel aan Firefox 57 toevoegen die gebruikers tegen data-url's moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden.

Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url.

Mozilla heeft een beveiligingsmaatregel binnen Firefox 57 doorgevoerd die ervoor zorgt dat data-url's als een unieke locatie worden gezien. Zodoende hebben data-url's die zich in een iframe bevinden niet meer dezelfde herkomst als het oorspronkelijke document waar ze zich in bevinden. Content die vanaf een andere locatie wordt benaderd zal door de browser worden geblokkeerd. Niet alleen beschermt dit gebruikers, het zorgt ervoor dat Firefox ook compliant met de html-standaard en het gedrag van andere browsers is. Firefox 57 komt volgende maand uit.

 

 

bron: security.nl