Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 30-06-2009
0
Gebruikers van de populaire Firefox plugin NoScript kunnen voortaan met een gerust hart internetbankieren, aangezien de extensie nu van een interne firewall is voorzien. De Application Boundaries Enforcer (ABE) module is een “firewall-achtig component” die de grenzen van belangrijke webapplicaties voor de gebruiker, zoals internetbankieren en webmail, bepaalt en bewaakt. NoScript is al in staat om tal van problemen zoals Cross-site scripting, CSRF en ClickJacking te stoppen, die allemaal worden veroorzaakt door een gebrek aan isolatie op webapplicatie niveau.
Rulesets
ABE, te vinden in het optie menu van de nieuwste NoScript versie, beschikt over een aantal “Rulesets”, zoals bij een firewall het geval is. Gebruikers kunnen per website instellen hoe de browser hiermee omgaat en wat is toegestaan en wat niet. “Al deze rulesets werken samen om de meest gevoelige webapplicaties te beschermen en te voorkomen dat ze door kwaadaardige websites worden misbruikt”, zegt Giorgio Maone, ontwikkelaar van NoScript.
Het is mogelijk om ABE zo in te stellen, dat het lokale netwerk tegen CSRF-aanvallen van buitenaf beschermd is. Bijvoorbeeld in het geval een kwaadaardige website de router probeert te hacken. Later verschijnt er nog de mogelijkheid om “vertrouwde rulesets” van een gecentraliseerde locatie te downloaden, maar die optie wordt nu nog niet ondersteund. De ontwikkeling van ABE is mogelijk gemaakt door de NLnet Foundation.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 20-05-2009
0
Het nieuwe cross-site scripting-filter in Internet Explorer 8 biedt geen bescherming tegen recent ontdekte beveiligingslekken in de websites van PayPal en eBay, gebruikers van de Firefox extensie NoScript hoeven zich geen zorgen te maken. Via de cross-site scripting (XSS) kwetsbaarheden kunnen aanvallers authenticatie gegevens en andere gevoelige informatie stelen en zelfs financiële transacties in naam van het slachtoffer uitvoeren, zegt Giorgio Maone, de maker van NoScript. Volgens hem heeft Microsoft allerlei features van NoScript aan de eigen browser toegevoegd. “Toen Microsoft het IE8 XSS-filter een jaar geleden onthulde, konden we zien hoe ondanks de gelijkenis met NoScript’s anti-XSS bescherming, het toch behoorlijk beperkt was.”
Het filter van Internet Explorer biedt alleen bescherming tegen “type 1″ XSS-aanvallen, maar kan niet overweg met de “type 0″ variant, gaat Maone verder. De kwetsbaarheden in de twee extreem populaire websites werden door hackersgroep “Team Elite” ontdekt. De bugs zijn al een aantal dagen geleden gemeld, maar nog steeds zijn er eenvoudig nieuwe bugs te vinden. Via de lekken is het mogelijk om onder andere iframes te injecteren.
Exclusief
Volgens Maone is het lek in de website opmerkelijk, aangezien die alleen IE treft. “Alle moderne browsers, behalve Internet Explorer, encoderen request URLs op de juiste manier voordat ze die versturen. Misbruik van dit specifieke PayPal lek vereist dat het “dubbele quotes” karakter zonder encodering wordt doorgegeven. Terwijl de meeste XSS exploits op alle browsers werken, treft deze alleen IE.”
