Er is een nieuwe kwetsbaarheid ontdekt in Google Chrome die het mogelijk maakt dat gevoelige gegevens uitlekken tussen verschillende bronnen (cross-origin). Het lek maakt misbruik van de manier waarop Chrome omgaat met de Loader Referrer Policy, een mechanisme dat bepaalt welke informatie wordt meegestuurd in de Referer-header bij het laden van content.
Wat is er aan de hand?
De kwetsbaarheid zorgt ervoor dat websites via een specifieke techniek alsnog gevoelige informatie kunnen opvragen die normaliter afgeschermd zou moeten zijn. Denk hierbij aan sessie-ID’s of andere privacygevoelige URL-parameters die via de Referer-header onbedoeld gedeeld worden.
Waarom is dit belangrijk?
Cross-origin datalekken kunnen ernstige gevolgen hebben voor de privacy van gebruikers en de veiligheid van webapplicaties. Kwaadwillenden zouden deze techniek kunnen gebruiken om gegevens van bezoekers te stelen, vooral bij websites die niet correct omgaan met referrer policies.
Wat kun je doen?
Totdat er een patch beschikbaar is, wordt het volgende aangeraden:
-
Zorg dat je de laatste versie van Chrome gebruikt.
-
Pas indien mogelijk een strikte referrer policy toe op je eigen website (Referrer-Policy: no-referrer of same-origin).
-
Controleer of gevoelige gegevens zoals tokens of ID’s niet in URL’s worden geplaatst.
Google is op de hoogte van de situatie en werkt aan een oplossing. Tot die tijd is het belangrijk om waakzaam te blijven en goede beveiligingspraktijken toe te passen.
Discussieer mee:
Wat vind jij van deze kwetsbaarheid? Denk je dat browsers voldoende doen om dit soort lekken te voorkomen? Deel je mening hieronder!
