Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief

Privé-browsen veiliger maken

28 februari 2018 - 11:483 minuten leestijdAchtergrondCloud & Infrastructuur
Krijn Soeteman
Krijn Soeteman

Even een incognito- of privé-venster openen om een session-cookie te ontwijken of iets te checken wat je liever niet in je zoekhistorie terugvindt: iedereen heeft zo zijn redenen om met iets minder pottenkijkers te browsen. Toch laten die sessies kleine stukjes leesbare informatie achter en om dat te voorkomen bedachten onderzoekers van MIT 'Veil'.

Veil werkt niet via de browser zelf, maar via externe servers die de onderzoekers ‘blinding servers’ in hun paper noemen. Op die manier is de informatie die iemand ontvangt ook veilig in niet-private browseromgevingen en volgens de onderzoekers zelfs veiliger. Zij presenteerden het systeem op NDSS in San Diego.

Gebruik maken van lekken

De eerste auteur van de paper, Frank Wang, stelt in een bericht dat ook privé-modi niet helemaal veilig zijn en er al makkelijk tien verschillende manieren aan te wijzen zijn om van bepaalde lekken gebruik te maken om de informatie toch te achterhalen. Dit laatste komt doordat de applicatie zelf informatie verzamelt en deze toch ergens tijdelijk opslaat. Om te voorkomen dat bruikbare informatie überhaupt opgeslagen wordt, moet volgens Wang de informatie helemaal niet opgeslagen worden.

Nu is het doel van privé-sessies dat de informatie na gebruik weer verwijderd wordt, maar er blijft altijd wel iets achter aan data ergens in een stukje geheugen, een swap-file of ergens een plukje cache. Zelfs als een browser alle data zou weten te achterhalen, kan de browser vermoedelijk niet eens alle data wissen doordat de applicatie geen schrijfrechten heeft in bepaalde delen van het gebruikte besturingssysteem.

Om dat probleem te omzeilen, gaat een gebruiker naar een speciale Vail-pagina in een normale browser. Vervolgens gaat de gebruiker via de ge-embedde code naar de eigenlijke website en vindt versleuteling bij Veil plaats. Vervolgens wordt de gevraagde site zichtbaar gemaakt via een decryptie-algoritme op de browser van de gebruiker zodat data die eventueel achterblijven later niet meer uit te lezen zijn. Een extra veiligheidslaag is ingebouwd door onzichtbare onzincode toe te voegen aan elke pagina die steeds verandert, zodat er geen herkenbare hash achterblijft; elke keer dat de pagina geladen wordt, wijzigt de onzincode.

Klap op de vuurpijl

Zo wordt de werkelijke url nooit opgeslagen op de computer zelf, blijft er niets begrijpelijks achter in de cache en is nooit iets te vergelijken met een hash van een database.

Als klap op de vuurpijl geeft Veil de mogelijkheid om slechts een screenshot te zien van de betreffende site waarbij Veil registreert waar je op het plaatje klikt en of dat inderdaad een link is. Er zit wel een addertje onder het gras: webdevelopers moeten wel een Veil-versie van hun site maken. Daarvoor hebben de onderzoekers een compiler ontwikkeld die de omzetting automatisch voor zijn rekening neemt.

Als laatste zijn er er natuurlijk wel veilige blinding-servers nodig. Daarmee hebben ze hetzelfde probleem als Tor-nodes: de servers moeten door organisaties gedraaid worden, die zouden het systeem kunnen ondermijnen. Wiskundig bewijs zal aan moeten tonen dat dit niet kan. Wellicht een decentrale oplossing kiezen? Maar dat laatste is traag en zorgt vermoedelijk niet voor veel betere performance.

Meer over

BrowsersEncryptieSAN

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Computable.nl

    Beveiliging begint bij de Server

    Is serverhardware de blinde vlek in het securitybeleid? Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialData & AI

    AI in softwaretesten: tussen belofte e...

    De opkomst van kunstmatige intelligentie (AI) wekte hoge verwachtingen in de wereld van softwaretesten. Zelflerende testsuites, automatisch gegenereerde testgevallen en...

    Meer persberichten

    Meer lezen

    AchtergrondSecurity & Awareness

    Twee dagen volle bak met prominente ot-rol

    ActueelCloud & Infrastructuur

    Navo moderniseert it-infrastructuur met Oracle en Thales

    Luchtfoto van het datacenter-complex van Microsoft in Middenmeer.
    ActueelData & AI

    Microsoft breidt datacenter in Wieringermeer fors uit

    ActueelData & AI

    Amsterdams-Russische Nebius ‘hofleverancier’ van Microsoft

    OpinieInnovatie & Transformatie

    ASMI, de stille kracht achter chip van morgen

    Groei
    ActueelInnovatie & Transformatie

    ING: it-dienstensector groeit licht harder dan economie

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs