Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cookie

Cookie

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Kerentanan CSRF dan Cara Menghindarinya

by

Cross-site request forgery (CSRF) adalah kerentanan keamanan berbasis web yang sangat populer. Melalui serangan CSRF, penyerang menipu pengguna untuk mengeksekusi atau melakukan aktivitas yang mengubah status, seperti memperbarui, menghapus, atau membuat permintaan tanpa disadari.

Serangan CSRF umumnya dimulai dengan teknik rekayasa sosial berbahaya, di mana penyerang mengirim atau menyematkan tautan permintaan berbahaya melalui obrolan, file HTML, dll., dan menunggu korban mengkliknya.

Sebagaimana dinyatakan dalam dokumentasi resmi OWASP, serangan CSRF dikenal dengan banyak nama, seperti XSRF, “Sea Surf”, Session Riding, dan hostile linking.

Apa Dampak Nyata Yang Diakibatkan?

Dampak serangan CSRF tergantung langsung pada sifat aplikasi target dan fitur/fungsi yang rentan.

Misalnya, jika aplikasi perbankan rentan terhadap CSRF, peretas dapat melakukan serangan CSRF untuk memperbarui/menghapus detail pengguna, meminta transfer dana, atau mengubah kata sandi tanpa sepengetahuan pengguna. Hal ini dapat mengakibatkan kerugian finansial bagi korban atau akun mereka diambil alih.

Oleh karena itu, dampak serangan ini dapat berkisar dari pembaruan detail sederhana hingga transfer dana, tergantung pada aplikasinya.

Kondisi untuk Serangan CSRF

Pertama, mari kita bahas dua kondisi penting yang dibutuhkan penyerang untuk melakukan serangan CSRF dengan sukses.

  1. Penanganan sesi berbasis cookie: Aplikasi memvalidasi session cookies yang dilampirkan pada permintaan untuk memvalidasi permintaan pengguna yang otentik. Artinya, penyerang hanya perlu memalsukan bagian yang tersisa dari permintaan HTTP. Membuka payload CSRF di browser terotentikasi yang sama akan secara otomatis menambahkan session cookies ke dalamnya, membuat permintaan pengguna yang sah dan lengkap.
  2. Tidak ada parameter permintaan pengguna yang tidak dapat ditebak: Tidak adanya parameter acak yang tidak dapat ditebak dalam permintaan HTTP membuat permintaan HTTP rentan terhadap pemalsuan dan CSRF. Hal ini memungkinkan penyerang berhasil memalsukan permintaan HTTP target dengan merujuk ke contoh permintaan HTTP yang sah.

Mengurangi Risiko Serangan CSRF

1. Gunakan Implementasi CSRF Bawaan atau yang Ada untuk Perlindungan CSRF

Kerangka kerja pengembangan populer seperti .Net, Java Spring, Django Python, dan Flask memiliki dukungan bawaan sebagai properti yang dapat dikonfigurasi.

Banyak dari kerangka pengembangan populer ini mendukung pertahanan pola token Synchronizer untuk CSRF. Selalu disarankan untuk meneliti dukungan bawaan yang ada untuk pertahanan CSRF dalam kerangka kerja ini sebelum menerapkan implementasi kustom apa pun untuk hal yang sama.

2. Mitigasi Berbasis Token

Token CSRF yang unik/tidak dapat diprediksi harus dibuat di sisi server per sesi. Saat klien memicu permintaan, server harus memverifikasi keberadaan dan validitas token CSRF dalam permintaan dengan membandingkannya dengan token yang ditemukan di sesi pengguna.

3. Pengiriman Cookie Ganda Berpola

Ini adalah solusi stateless untuk perlindungan CSRF. Dalam metode pengiriman cookie ganda, nilai acak dikirim dalam cookie dan parameter permintaan. Server memvalidasi keaslian permintaan dengan mengonfirmasi bahwa kedua nilai tersebut sama. Untuk mencapai ini, token CSRF acak yang aman dibuat dan disimpan sebagai cookie ketika pengguna masuk ke aplikasi.

Setiap kali pengguna mengirimkan permintaan server, token CSRF ini dikirim sebagai cookie dan juga ditambahkan sebagai bidang input tersembunyi ke dalam HTML. Jika keduanya cocok, maka server mengautentikasi permintaan, jika tidak maka akan ditolak.

Selengkapnya: Medium Faun.pub

Penjelajahan yang lebih pribadi? Firefox semakin ketat dalam pelacakan cookie dengan perlindungan ‘total’ baru

by

Mozilla, pembuat browser Firefox, telah meluncurkan fitur yang disebut Total Cookie Protection sebagai bagian dari “Mode Ketat” Perlindungan Pelacakan yang Ditingkatkan yang menjanjikan untuk membungkam pelacakan lintas situs.

Jika Anda disadap oleh perusahaan yang menggunakan cookie untuk melacak aktivitas online Anda di seluruh situs web, Mozilla mungkin punya jawabannya.

“Total Cookie Protection membatasi cookie ke situs tempat mereka dibuat, yang mencegah perusahaan pelacak menggunakan cookie ini untuk melacak penjelajahan Anda dari situs ke situs,” kata Mozilla dalam posting blog baru.

Fitur ini tersedia sebagai bagian dari fitur Firefox yang disebut Enhanced Tracking Protection.

Mozilla berpendapat bahwa sebagian besar browser mengizinkan cookie untuk dibagikan antar situs web, memungkinkan staf pemasaran untuk “menandai” browser dan melacak pengguna saat mereka menjelajahi situs.

“Jenis pelacakan berbasis cookie ini telah lama menjadi metode yang paling umum untuk mengumpulkan intelijen pada pengguna. Ini adalah komponen kunci dari pelacakan komersial massal yang memungkinkan perusahaan periklanan untuk diam-diam membangun profil pribadi Anda yang terperinci,” kata Mozilla.

Selengkapnya: ZDNet

Bug Xbox dapat memungkinkan peretas untuk menautkan tag pemain dengan email pemain

by

Microsoft telah menambal bug di situs web Xbox yang dapat memungkinkan pelaku ancaman menautkan tag (nama pengguna) Xbox ke alamat email asli pengguna.

Kerentanan tersebut dilaporkan ke Microsoft melalui program bounty bug Xbox yang baru-baru ini diluncurkan perusahaan.

Joseph “Doc” Harris, salah satu dari beberapa peneliti keamanan yang melaporkan masalah ini ke Microsoft, membagikan temuannya dengan ZDNet awal pekan ini.

Peneliti keamanan mengatakan bug tersebut terletak pada enforcement.xbox.com, portal web tempat pengguna Xbox melihat serangan terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil atas perilaku mereka di jaringan Xbox.

Setelah pengguna masuk ke situs web ini, situs Xbox Enforcement membuat file cookie di browser mereka dengan detail tentang sesi web mereka, jadi mereka tidak perlu mengautentikasi ulang saat mereka mengunjungi situs itu lagi.

Harris mengatakan bahwa file cookie portal yang disertakan berisi bidang ID pengguna (XUID) Xbox yang tidak terenkripsi.

Menggunakan alat yang disertakan dengan semua browser modern, Harris mengedit bidang XUID dan menggantinya dengan XUID dari akun pengujian yang telah dibuat dan digunakan untuk pengujian sebagai bagian dari program Xbox bug bounty.

Harris juga membagikan video bug, yang disematkan di bawah ini:

“Mencoba mengganti nilai cookie dan menyegarkan situs, dan tiba-tiba saya bisa melihat email [pengguna] lain,” kata Harris kepada ZDNet dalam sebuah wawancara minggu ini.

Sumber: ZDNet