Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!

Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Svenska Dagens Nyheter rapporterar att tillägg i webbläsarna Chrome och Firefox läckt information om användare i flera månaders tid.

Läs hela artikeln här

Standardinställningen i webbläsare brukar dessutom vara "Uppdatera tillägg automatiskt". Så rent krasst skulle illasinnade kunna ha en långsiktig strategi och bygga upp en användarbas med ett till synes sjysst tillägg för att sedan, efter något år, smyga in en uppdatering med sådan kod.

På jobbet kör jag Firefox utan tillägg. Hemma kör jag Firefox med endast uBlock Origin.

En bra tumregel är att bara använda sådana tillägg som man verkligen behöver, då behörigheterna kan gå riktigt långt. Att det är roligt med att alla flikar har olika färger och diverse verktyg kan vara smidigt men varje tillägg ökar risken för phone-home funktionalitet och ger potentiellt större attack vektorer.

Personligen används enbart Ublock Origin för reklam, https everywhere för att tvinga https anslutningar, och privacy badger för att motverka spårningar / fingerprinting.

Senast redigerat 2019-09-08 13:27

Är inte det här en ganska gammal nyhet? Jadali-rapporten och de flesta nyheter kring den publicerades ju i mitten av juli: https://securitywithsam.com/2019/07/dataspii-leak-via-browser... (samma länk som i artikeln)

Känns lite oklart vad DN haft för roll i detta (om någon) som kan förklara dröjsmålet samt varför de får nästan all ära i denna artikel för sitt reportage när Jadali, som huvudsakligen står bakom rapporten, bara nämns kort "I samarbete med".

Varför hänvisa till DN:s reportage (som t.o.m. kräver en prenumeration att läsa) istället för att gå direkt på källan (Jadali-rapporten)? Framför allt när innehållet verkar vara näst intill identiskt med vad i princip vartenda annan tekniknyhetsmedia redan skrivit när rapporten först publicerades i juli.

Senast redigerat 2019-09-06 11:31

@Timmy Fox: ja den ursprungliga rapporten är från i somras. Det DN har gjort, och det vi lyfter fram, är att många använt dessa webbläsartillägg månader efter rapporten ursprungligen presenterades. De flesta lär helt enkelt inte varit medvetna om Jadalis rapport, och DN:s artikel belyser det på ett sätt som fler svenskar får upp ögonen för. DN gör problemet mer påtagligt för svenska användare, och då får de också fokus i vår källhänvisning.

Skrivet av Nikka:

Webbadresser avslöjar mer än bara användarnas surfhistorik. Webbadresser kan innehålla känsliga parametrar, till exempel delnings-ID:n eller rent av filnamn. I fel händer avslöjar webbadresser på så sätt mycket mer än bara vilka webbplatser som användarna besöker.

Framförallt har tillägg i allmänhet full åtkomst till allt innehåll på alla sidor användaren besöker. Alltså själva HTML-dokumentet.

Skrivet av Joppis:

Standardinställningen i webbläsare brukar dessutom vara "Uppdatera tillägg automatiskt". Så rent krasst skulle illasinnade kunna ha en långsiktig strategi och bygga upp en användarbas med ett till synes sjysst tillägg för att sedan, efter något år, smyga in en uppdatering med sådan kod.

På jobbet kör jag Firefox utan tillägg. Hemma kör jag Firefox med endast uBlock Origin.

Inget hypotetiskt scenario, utan något som faktiskt sker. Gamla tillägg säljs eller byter ägare, som sedan "uppdaterar".

Förjävligt för de som drabbats

Själv verkar jag klara mig då jag inte använder någon av de där tilläggen.

Skrivet av Ozzed:

Förjävligt för de som drabbats

Själv verkar jag klara mig då jag inte använder någon av de där tilläggen.

Enligt DNartikeln (som är en av källorna) går man inte riktigt säker hur man själv än agerar.

– "Man kanske tror att det inte kommer beröra mig. Men även om du är världens mest säkerhetsmedvetna person så behöver det inte spela någon roll. Du kommer ändå påverkas om du har en vän som använder det här tillägget, säger han."

Huruvida det handlar om just en vän vet jag inte riktigt.
Men storföretagen drabbas.
https://www.dn.se/nyheter/sverige/storforetag-bland-de-avlyss...
Vårdinrättningar drabbas och andra instanser med känslig data drabbas.
Det läcker alltså data - om exempelvis dig. Men inte från dina enheter utan från andra institutioner.

Den delen är extra trist och helt enkelt omöjligt att skydda sig ifrån.

"Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren."

Nu är jag petig, men antalet tillägg har ingen betydelse i sig, utan vad det är för tillägg. Så jag skulle säga "vilka" och inte "hur många".

Men visst, ju fler tillägg man installerar desto större sannolikhet att en av dem är malware, förstås.

(Samma sak för övrigt när det gäller hur många bakterier det t.ex. finns på ett tangentbord; antalet är ointressant, vilka är det viktiga.)

Skrivet av Söderbäck:

Enligt DNartikeln (som är en av källorna) går man inte riktigt säker hur man själv än agerar.

– "Man kanske tror att det inte kommer beröra mig. Men även om du är världens mest säkerhetsmedvetna person så behöver det inte spela någon roll. Du kommer ändå påverkas om du har en vän som använder det här tillägget, säger han."

Huruvida det handlar om just en vän vet jag inte riktigt.
Men storföretagen drabbas.
https://www.dn.se/nyheter/sverige/storforetag-bland-de-avlyss...
Vårdinrättningar drabbas och andra instanser med känslig data drabbas.
Det läcker alltså data - om exempelvis dig. Men inte från dina enheter utan från andra institutioner.

Den delen är extra trist och helt enkelt omöjligt att skydda sig ifrån.

Åfan... Illa. Surt när man själv ska drabbas av att andra klantar till det.

Det är därför man i minsta mån vill låta någon ha mer information än vad de behöver. "need to know basis" Tyvärr är den mesta mjukvara förinställd på att dela ALLT.

Skrivet av backfeed:

"Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren."

Nu är jag petig, men antalet tillägg har ingen betydelse i sig, utan vad det är för tillägg. Så jag skulle säga "vilka" och inte "hur många".

Men visst, ju fler tillägg man installerar desto större sannolikhet att en av dem är malware, förstås.

(Samma sak för övrigt när det gäller hur många bakterier det t.ex. finns på ett tangentbord; antalet är ointressant, vilka är det viktiga.)

Njae, det saknas en parameter där. Det viktiga är vilka tillägg man har just nu för tillfället och att man håller sig ajour med förändringar. Ett av dina tillägg kan köpas upp imorgon och du kommer sannolikt automatiskt få tilläggsuppdateringar. Dvs imorgon kan ett av dina "säkra" tillägg vara nedlusat med skräp. Svårt att hålla koll på vilka tillägg som köps upp hit och dit. Ju fler tillägg desto svårare blir det att hålla koll på förändringarna.

Skrivet av loevet:

@Timmy Fox: ja den ursprungliga rapporten är från i somras. Det DN har gjort, och det vi lyfter fram, är att många använt dessa webbläsartillägg månader efter rapporten ursprungligen presenterades. De flesta lär helt enkelt inte varit medvetna om Jadalis rapport, och DN:s artikel belyser det på ett sätt som fler svenskar får upp ögonen för. DN gör problemet mer påtagligt för svenska användare, och då får de också fokus i vår källhänvisning.

Ja ok, då förstår jag bättre!

Skrivet av Joppis:

Njae, det saknas en parameter där. Det viktiga är vilka tillägg man har just nu för tillfället och att man håller sig ajour med förändringar. Ett av dina tillägg kan köpas upp imorgon och du kommer sannolikt automatiskt få tilläggsuppdateringar. Dvs imorgon kan ett av dina "säkra" tillägg vara nedlusat med skräp. Svårt att hålla koll på vilka tillägg som köps upp hit och dit. Ju fler tillägg desto svårare blir det att hålla koll på förändringarna.

Absolut. Sen varierar förstås sannolikheten att det ska hända, t.ex. är det inte särskilt troligt att EFF:s tillägg (som HTTPS Everywhere och Privacy Badger) skulle byta ägare.

Ett tillägg som bytte ägare, men som vad jag vet ändå är ok, är Ghostery. Just det tillägget är väl dessutom omgärdat av lite kontrovers, även om det mesta verkade bero på missförstånd.

And this, ladies and gentlemen, is why you should have more than one webbrowser.

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Skrivet av Xyborg:

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Nej, kör inte några tillägg i någon av de webbläsare jag kör.

Skrivet av Xyborg:

Är jag verkligen den enda som kör webbläsaren (i mitt fall Firefox) helt utan tillägg?

Skickades från m.sweclockers.com

Nej, jag skulle tro att en majoritet av alla användare kör utan några plugin överhuvudtaget.

@Xyborg: Nej, du är absolut inte ensam.

Just nu kör jag två tillägg, Googles Analytics-plugin för livedata på webbplatser jag "äger" och Lastpass för lösenord. Innan hade jag en hel hög, men har skalat bort nästan alla. Användes knappt, onödigt att de ligger där då.

Jag har några få i Chrome, inga alls i Firefox/IE Chrome/Safari. Av de jag har i Chrome kommer nästan alla från Google, men jag använder nästan aldrig dessa så kommer nog plocka bort dem också framgent.

Skickades från m.sweclockers.com

Har inte jättemånga i Firefox själv men ett par stycken ändå som alla används relativt ofta:

- BetterTTV — för Twitch
- Checker Plus for Google Calendar — För att snabbt hålla koll på kalendern
- Dashland — Lösenord
- Enhancer for Youtube — Gör Youtube-hemsidan lite trevligare att använda
- Feedly Notifier — Då jag använder Feedly för allt RSS-relaterat
- Ublock Origin — För sidor som har alldeles för mycket irriterande reklam överallt
- View Image — För att få tillbaka "Visa bild"-knappen i Googles bildsökning.

Problemet med artikeln är att den är utformad som om att ALLA tillägg är dåliga och riskabla men talar inte om hur mycket webbläsare "läcker" i normalläge och att det finns tillägg som ser till att täppa till en del av hålen någorlunda.

Själv kör jag:
- Ublock Origin.
- Cookie Auto-Delete.
- NoScript.

Det finns ytterligare ett tillägg som heter "Lightbeam" som är litet kul eftersom det visar grafiskt vilka korsreferenser som går att göra när det gäller ditt surfande.