You do not have permission to view link please Anmelden or Registrieren
evtl. interessiert es wen. Grob gesagt kann man egal welchen Browser und welche Plugins man verwendet, den Nutzer dank Third-Party-Cookies nachverfolgen.
USENIX-Paper zu Cookies
- Ersteller LadyRavenous
- Erstellt am
evtl. interessiert es wen. Grob gesagt kann man egal welchen Browser und welche Plugins man verwendet, den Nutzer dank Third-Party-Cookies nachverfolgen.
- Thread Starter Thread Starter
- #3
You do not have permission to view link please Anmelden or Registrieren
Ja, anscheinend kann man diese umgehen.
theSplit
1998
- Registriert
- 3 Aug. 2014
- Beiträge
- 5.862
Hallo,
ich habe mal einen der Herren angeschrieben, ob Sie meinem Add-on "Flag Cookies" einen Spin-off in ihrem Framework geben könnten und eventuell auch Ratschläge anbringen würden, ob und in wie weit der Schutz wirklich schützt in aktueller Form/Optionen.
Auch, wenn ich das Paper richtig lese, es eher darum geht, das keine "Verbindungen zu dritten Seiten" durchgeschleust werden bzw. im Vorfeld geblockt werden die Cookie Informationen leaken.
Ich denke aber dass es schon etwas bringen "kann", Cookies im Vorfeld bei "onBeforeRequest" löschen zu lassen, das heißt das der dritten Seite die Cookie Informationen bzw. der eigentlich "Daten-Leak" nicht mehr zu Verfügung stehen würden.
Das XNR Framework habe ich so selbst leider noch nicht getestet, da die Einrichtung etwas umfangreicher ist.
Aber ich hoffe darauf, dass einer der Herren etwas testen kann und es eine Rückmeldung gibt.
PS: Wenn jemand das Framework selbst testet, würde ich mich über einen unabhängigen Test sehr freuen.
ich habe mal einen der Herren angeschrieben, ob Sie meinem Add-on "Flag Cookies" einen Spin-off in ihrem Framework geben könnten und eventuell auch Ratschläge anbringen würden, ob und in wie weit der Schutz wirklich schützt in aktueller Form/Optionen.
Auch, wenn ich das Paper richtig lese, es eher darum geht, das keine "Verbindungen zu dritten Seiten" durchgeschleust werden bzw. im Vorfeld geblockt werden die Cookie Informationen leaken.
Ich denke aber dass es schon etwas bringen "kann", Cookies im Vorfeld bei "onBeforeRequest" löschen zu lassen, das heißt das der dritten Seite die Cookie Informationen bzw. der eigentlich "Daten-Leak" nicht mehr zu Verfügung stehen würden.
Das XNR Framework habe ich so selbst leider noch nicht getestet, da die Einrichtung etwas umfangreicher ist.
Aber ich hoffe darauf, dass einer der Herren etwas testen kann und es eine Rückmeldung gibt.
PS: Wenn jemand das Framework selbst testet, würde ich mich über einen unabhängigen Test sehr freuen.
- Thread Starter Thread Starter
- #5
You do not have permission to view link please Anmelden or Registrieren
Ich drück dir die Daumen! Die Idee finde ich klasse.
theSplit
1998
- Registriert
- 3 Aug. 2014
- Beiträge
- 5.862
You do not have permission to view link please Anmelden or Registrieren
Danke, schauen wir mal - wegen einer Sache bin ich noch etwas unschlüssig, ich hatte bis vor einiger Zeit auch auf "xmlHttpRequests" gelauscht - da dies aber, bei "dynamischen Requests" (logisch) zu Problemen gekommen ist - also hier im Forum zum Beispiel das triggern der Cookielöschung ohne weitere zu tun - hatte ich es entfernt. Aber das hat/hätte auch andere dynamische Seiten betroffen.Das wäre ein Punkt, der eventuell schon eine mögliche Lücke darstellen könnte. Allerdings sollte, soweit ich im Bilde bin, ja die Cross-Origin-Policy in JS (Sandbox) dafür sorgen, das Requests nicht auf zweite Domains getätigt werden. Was dann theoretisch heißen würde, dass es keinen extra Triggering/Auslösen der Cookie Löschroutine bedarf.
Aber gut, ich warte mal auf Rückmeldung. Und danke dass du dieses Paper hier verlinkt hast.
- Thread Starter Thread Starter
- #7
You do not have permission to view link please Anmelden or Registrieren
Bitte, keine Ursache. Ich sollte eigentlich noch mehr Paper von der Konferenz lesen. Meist sind bei der interessante Sachen dabei. Die Bleichenbacher- und Spectre-Paper fand ich auch noch sehr gut.
theSplit
1998
- Registriert
- 3 Aug. 2014
- Beiträge
- 5.862
You do not have permission to view link please Anmelden or Registrieren
@off-topic - ist guter Input so etwas bzw. solche "Findings".Und eventuell gibt es da auch "Klärungsbedarf" bzw. Diskussionsbedarf oder Feedback.
Wäre also dafür wenn du mehr postest, und wenns magst, auch mit 'Teaser'.
