Firefox krijgt bescherming tegen cache-aanvallen via http

[Captain Kirk]

Mozilla gaat een beveiligingsmaatregel binnen Firefox doorvoeren die gebruikers tegen cache-aanvallen via http moet beschermen. De browser beschikt over een feature genaamd Application Cache (AppCache) waarmee websites ook offline kunnen werken, websites sneller worden geladen en serverbelasting wordt verminderd. Hierbij wordt er informatie van de website lokaal op het systeem opgeslagen.

AppCache kent echter verschillende beperkingen als het gaat om het controleren of de cache moet worden vernieuwd. Een aanvaller kan hier misbruik van maken en ervoor zorgen dat de browser de opgeslagen cache nooit zal vernieuwen. Mozilla geeft als voorbeeld een scenario waarbij een gebruiker via een openbaar wifi-netwerk het internet opgaat. Zelfs als deze gebruiker slechts één website via http bezoekt, kan de aanvaller door middel van onveilige iframes kwaadaardige content in de cache plaatsen en zodoende al die websites voor altijd manipuleren. Zelfs een voorzichtige gebruiker die alleen thuis op websites inlogt loopt door deze "oude cache" risico, aldus Mozilla.

Om gebruikers tegen een dergelijke aanval te beschermen zullen testversies vanaf Firefox 60 http-pagina's geen toegang meer tot de AppCache geven. Alleen bij een onversleutelde verbinding kan een aanvaller namelijk de inhoud van het verkeer en zo de cache manipuleren. Met de lancering van Firefox 62 zal Application Cache voor http-websites ook in de standaardversie worden verwijderd, zo laat Mozilla weten. Ook andere browsers zoals Chrome, Edge en WebKit waar Safari van gebruikmaakt hebben aangegeven deze maatregel door te zullen voeren. Het uiteindelijke plan is om steeds meer features van Firefox alleen maar toegankelijk voor https-sites te maken. Firefox 62 staat gepland voor 21 augustus van dit jaar.

 

 

bron: security.nl