/></p></noscript>
<!-- End Piwik Code --></head>
<body class='template-news-item'>
	<!-- Google Tag Manager (noscript)-->
	<noscript><iframesrc=

SoftwareGeek.nl

28-10-2015

Een onderzoekster heeft een nieuwe browser-aanval gedemonstreerd waardoor websites het surfgedrag van bezoekers kunnen achterhalen, ook als de surfgeschiedenis eerder door de gebruiker is verwijderd. De aanval maakt gebruik van HTTP Strict Transport Security (HTST) en Content Security Policy (CSP).

HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. CSP is een maatregel die cross-site scripting moet voorkomen. De aanval werd dit weekend tijdens de ToorCon conferentie door onderzoekster Yan Zhu gedemonstreerd (pdf).

Bron: security.nl