Browser-cache spreekt boekdelen voor hacker

21 van de 30 onderzochte sites de fout in

Dat de kunstgreep een zeker gevaar met zich brengt ten aanzien van de vertrouwelijkheid van op het scherm getoonde informatie, is al lang bekend. Ontwikkelaars van websites proberen om die reden te zorgen dat gevoelige informatie wordt gevrijwaard van opslag in de caches van browsers.

Recent onderzoek van het in Baltimore gevestigde beveiligings-adviesbedrijf Independent Security Evaluators (ISE) wijst echter uit dat de technieken waarmee sitebouwers het chachen van gevoelige schermen trachten te verijdelen, in veel gevallen achterhaald zijn. Bij een evaluatie van een dertigtal prominente transactiesites bleken 21 sites niet adequaat te voorkomen dat schermen met gevoelige gegevens doodleuk in de cache van de browser belanden. Het betrof onder meer facturen van nutsbedrijven, boekingsgegevens, inschrijvingen en betaalgegevens. Onder de bedrijven die het cachen van gevoelige klantinformatie niet adequaat voorkomen, bevonden zich onder meer betalingsdienstverlener PayPal en telecombedrijf Verizon Wireless.

Private browsing-modus

Het probleem is uiteraard vooral aan de orde wanneer gebruik wordt gemaakt van computers die met anderen worden gedeeld. Maar de onderzoekers waarschuwen dat ook de browser-caches van privé-computers voor hackers en criminelen vaak relatief simpel te benaderen zijn. De meest voor de hand liggende maatregel om te voorkomen dat hackers cachebestanden raadplegen, is het regelmatig weggooien van de chaches, of beter nog, het geheel niet doen ontstaan van browsercaches. Dat laatste is mogelijk door gebruik van de zogeheten 'private browsing'-modus, waarin de meeste browsers wel op een of andere wijze voorzien. Nadeel van deze laatste aanpak is wel dat het laden van regelmatig bezochte sites wat trager zal verlopen en dat behalve de chachemap ook de lijst van recentelijk bezochte sites leeg zal blijven.