Het probleem zit hem in de Javascript Math.random functie en boundary string die informatie lekken. Door deze gegevens te combineren, is het mogelijk om het unieke browser proces in kaart te brengen. Zodra de browser wordt afgesloten verdwijnt de informatie, waardoor het monitoren van de gebruiker stopt, in tegenstelling tot bijvoorbeeld cookies die voor onbepaalde tijd op een systeem actief kunnen zijn. Naast het lekken van informatie zijn de kwetsbaarheden ook te gebruiken voor "in session phishingaanvallen", waarschuwt Klein.
Oplossing
De onderzoeker adviseert gebruikers die hun privacy belangrijk vinden om alle browser processen regelmatig af te sluiten, met name tussen het bezoeken van websites waarvan men niet wil dat die met elkaar geassocieerd worden. Daarnaast moet men natuurlijk de standaard privacy-maatregelen volgen, zoals het verwijderen van alle cookies en cache. Applicatieontwikkelaars wordt aangeraden om niet op de willekeurigheid en onvoorspelbaarheid van Javascript’s Math.random functie te vertrouwen. Microsoft, Apple, Mozilla, Google en Opera doen er volgens Klein verstandig aan om hun code te herzien.
Â
bron: security.nl