Struikelblokken en kwetsbaarheden bij de adoptie van same-site cookies

Gertjan Franken Tom Van Goethem
Sinds 2016 ondersteunen de eerste webbrowsers same-site cookies, een nieuwe technologie om gebruikers beter te beschermen tegen hackers. Verdere adoptie hiervan gebeurt echter traag omdat andere populaire webbrowsers niet volgen en bijna geen enkele grote website same-site cookies gebruikt. In deze thesis ga ik dieper in op de eigenlijke werking en doel van de same-site cookie, en reik ik een oplossing aan om de adoptie van same-site cookies te vergemakkelijken.

De toekomst van de cookies

Hand in hand met veilige same-site cookies?

Als u af en toe op het web vertoeft, dan hebt u vast wel eens van cookies gehoord. Niet de kruimelende versnaperingen die vaak aan de grondslag liggen van een gefaald dieet, wél de kleine stukjes data die op uw computer worden opgeslagen om uw surfervaring te verbeteren. Hoe zoet deze computerterm ook klinkt, men houdt er in veel gevallen een bittere nasmaak op na. Naast de surfende gebruiker, weten namelijk ook hackers dit wel te smaken. Gelukkig tracht men deze te slim af te zijn aan de hand van nieuwe veiligheidstechnieken, waarvan de same-site cookie er eentje is.

De beginjaren

Het smakelijke verhaal begint in 1994, het jaar waarin de cookie werd geïntroduceerd. Voor het eerst konden websites via de webbrowser stukjes data opslaan op de computer van de bezoeker. Eén bezoek was genoeg om enkele kilobytes aan gegevens te bewaren. Bij de daaropvolgende bezoeken zorgde de webbrowser er dan voor dat deze gegevens automatisch werden meegestuurd naar de website. Op deze manier kon de website gebruikersspecifieke informatie opslaan voor iedere bezoeker. Dit maakt het onder andere mogelijk om een geregistreerde bezoeker te herkennen en automatisch in te loggen.

Cookies werden echter pas werkelijk bekend bij het grote publiek in 1996, maar niet vanwege het gebruiksgemak. In dat jaar publiceerde Financial Times een artikel waarin het hevige kritiek uitte op dit nog jonge stukje technologie. Men vestigde de aandacht op de privacy van de internetgebruikers die te grabbel werd gegooid. Door middel van cookies kon iedere website namelijk achterhalen welke pagina’s de gebruiker het meest verkiest of hoe regelmatig hij de website bezoekt. Dit kon voordien ook al op andere wijzen, maar minder doeltreffend. Deze kritiek deed echter geen afbreuk aan het succes van de cookie, maar duidde de wereld wel op de keerzijde van de medaille.

Moderne risico’s

Nu, vele jaren later, wordt er nog altijd gretig gebruik gemaakt van cookies. Denk maar aan websites zoals Facebook en YouTube waarvoor u niet elke keer uw wachtwoord moet invullen om in te loggen. Of aan die opvallende cookie policies die u onder uw neus gedrukt krijgt bij het bezoeken van een nieuwe website. Ook al is de cookie veel veranderd sinds zijn creatie, het concept is altijd hetzelfde gebleven.

Ondertussen is ook een nieuwe groep van aanvallen ontstaan die misbruik maken van de cookie, dit zijn de cross-site aanvallen. Zo’n aanval wordt geïnitieerd wanneer u als onschuldige gebruiker een kwaadwillige website van een hacker bezoekt. De hacker kan zijn website immers zo ontwerpen dat de webbrowser als gevolg van dit bezoek automatisch een boodschap — of in vaktermen een cross-site request — verstuurt naar een andere website. Dat is op zich niet zo raar, want bijna elke website steunt op dit principe om bijvoorbeeld afbeeldingen, filmpjes en functionaliteit van andere websites te hergebruiken. Wel is het in geval van hackers gevaarlijk. Zoals we hiervoor al aanhaalden, wordt ook de cookie (indien de gebruiker er een heeft voor de website die hij bezoekt) telkens meegestuurd met de request. Zo wordt de gebruiker dus bij elke request impliciet geauthenticeerd op de doelwebsite. Met andere woorden zal de doelwebsite weten dat het gaat om een bepaalde gebruiker. Deze impliciete authenticatie vormt de basis van deze aanvallen.

Voor deze aanvalsgroep heeft de hacker meestal één van twee objectieven. Een eerste is dat hij in naam van de gebruiker een actie tracht uit te voeren op de website waarvoor deze gebruiker geregistreerd is. Dit kan gaan van het posten van een reactie op Facebook, over het reageren op een video op YouTube, tot gewoon het wijzigen van accountinstellingen op eender welke website. Het verrichten van overschrijvingen in naam van het slachtoffer is in dit geval ook niet uitgesloten. Dit soort problemen zijn in het verleden al aangetoond voor onder andere ING Direct, YouTube en The New York Times.

In tegenstelling tot het eerste objectief, zou de hacker ook geïnteresseerd kunnen zijn in het verzamelen van persoonlijke informatie. Via een cross-site aanval probeert hij dan accountspecifieke informatie tot bij hem te krijgen of zelfs gewoon te construeren. Daar bestaan verschillende technisch-complexe manieren voor, waaronder het verrichten van tijdsmetingen over verschillende cookie-dragende cross-site requests. In een notendop kan de hacker aan de hand van deze tijdsmetingen in combinatie met gepersonaliseerde Facebook-advertenties de leeftijd, het geslacht en de locatie van een Facebook-gebruiker ongevraagd achterhalen.

Same-site cookies als zoethouder?

De besproken kwetsbaarheden vormen nog steeds een groot probleem op het internet. Met als doel deze te verhelpen, werd de same-site cookie geïntroduceerd. Same-site cookies zijn eigenlijk gewone cookies met een extra attribuut. Met dit attribuut kunnen websites bepalen of de cookie meegestuurd mag worden met cross-site requests of niet. Op deze manier wordt de gebruiker beter beschermd. Hij wordt immers niet meer zomaar impliciet geauthenticeerd voor elke cross-site request.

De adoptie van same-site cookies gebeurt daarentegen traag. Enerzijds moeten de populaire webbrowsers deze nieuwe technologie ondersteunen. Dit gebeurt sinds 2016 al door Google Chrome en Opera, maar jammer genoeg laten de andere webbrowsers op zich wachten. Anderzijds moet deze technologie ook geïntegreerd worden door websites. Er is echter bijna geen enkele grote website die dit daadwerkelijk doet. Dit komt omdat het vaak niet eenvoudig is om de bestaande websitestructuren uit te breiden met same-site cookies. Het onbezonnen toepassen van same-site cookies kan immers de functionaliteit en gebruiksvriendelijkheid van een website ondermijnen.

Of de same-site cookie een grotere rol zal spelen in de strijd tegen cross-site aanvallen, of plaats zal moeten maken voor een beter geschikte technologie, zal de toekomst uitwijzen. De same-site cookie lijkt alleszins een effectief middel tegen dit probleem. Daarnaast zouden speciaal ontwikkelde tools ook kunnen helpen bij de integratie van same-site cookies in bestaande websitestructuren.

Bibliografie
Universiteit of Hogeschool
Master in de ingenieurswetenschappen: computerwetenschappen
Publicatiejaar
2017
Promotor(en)
Wouter Joosen
Kernwoorden
Share this on: