WebbanalysKeymetrics

Firefox inställning vilseleder

Trots en numera automatiserad uppgradering av Firefox och Internet Explorer mot allehanda säkerhetshål upptäcks fler säkerhetshål fortlöpande. Användare av Firefox bör inte tro okritiskt på de cookieinställningar som de konfigurerar sina egna webbläsare med då cookiehanteringen i Firefox har en flagrant brist.

Cookiehantering viktig för integriteten

Hur webbplatser hanterar cookies berör automatiskt varje besökare till webbplatsen, och det optimala är webbplatsägare som tydligt går ut med klara besked om detta. Från PTS kan varje webbplatsägare inhämta information om hur dessa skall redovisas, men varje användare av webbläsare kan även själva öka på säkerheten i den egna webbläsaren.

Men ibland räcker inte ens det eftersom alla webbläsare över tid har säkerhetshål, vissa kvarvarande längre än andra. Hur man än väljer att lösa cookiehanteringen så är det viktigt att det fungerar som tänkt och utlovat, och i fallet med att konfigurera sin webbläsare så är det viktigt att de inställningar man väljer verkligen fungerar och inte invaggar användaren i en falsk säkerhet.

Firefox inställning vilseleder

Cookieinställningen som inte fungerar till 100%Många som kör Firefox tycks okritiskt tro att den är till 100% säker, men det stämmer inte med verkligheten vilket enkelt kan fastställas. Enligt hjälpfilen i Firefox (version 1.5.0.3) skall inställningen "for the originating website only" (se innehållet i den röda rutan till vänster) säkerställa att inga främmande cookies tas emot.

Detta möjliggör att cookies som webbplatsen själv sänder ut tas emot, men att alla andra skall blockeras. Detta lämnar i Firefox fall även ett potentiellt hål öppet eftersom det inte fungerar som tänkt.

Rimligen bör en användare inte vara tvungen att dubbelkolla en så tydlig och uppenbart konfigurationsval, speciellt inte i en produkt som Firefox som skall vara ett attraktivt alternativ. I exemplet nedan så kan man enkelt konstatera att inställningen för mottagande av cookies inte fungerar fullt ut som det är tänkt. Detta i kombination med att implementationen av lösningar för webbstatistik är utformade på ett för integriteten försämrande sätt är märkligt. För det går mycket enkelt att ha en korrekt cookiehantering.

P3P i Firefox dröjer ännu

Det är uppenbart att Firefox behöver en justering av hur den hanterar cookies, dessutom vore det rimligt att den fick stöd för P3P, Internet Explorer har det men saknar just det val som Firefox har med att kunna acceptera endast cookies från webbplatsen som man besöker. Men den fungerar inte som tänkt i Firefox varför det säkert dröjer tills dess att en säkrare version dyker upp. Men med eller utan P3P policy skall inte cookies från 3:e part smita förbi om webbläsaren är inställd för att blockera det.

Fritt fram för vissa cookies

För att testa att inställningen inte fungerar så är det hur enkelt som helst att testa själv med följande inställningar i sin Firefox.

Instadia cookie som borde blockerats smiter in

- Aktivera valet enligt ovan i Firefox (under inställningar/options)

- Rensa bort alla cookies

- besök en webbplats som använder 3:e parts cookies

När man sedan visar alla cookies kan man enkelt se att trots begränsningen så har en cookie från en annan domän tagit sig in. För en webbläsare som skall vara säker är detta ett rätt märkligt säkerhetshål. Men för webbplatsen ifråga så innebär det att cookieförklaringen bör kompletteras med ny information när förändringar sker. I Aftonbladets fall är texten från 2003-07-01 i akut behov av uppdatering.

Varför Aftonbladets leverantör av webbstatistik gör på detta sätt är inte känt, men uppenbart är att deras system pressar in en cookie oavsett vad Firefox är inställd på. Att med liknande kreativa metoder pressa in cookies bidrar inte till att öka förtroendet för hur en webbplats hanterar cookies eller dess underleverantörer. Fortsätter ofoget att smyga in cookies i webbläsare till vilket pris som helst kommer till slut bara återstå för surfare att helt blockera anrop till de domäner som associeras med dessa cookies, för webbplatsägarens del kommer webbstatistiken att därmed bli felvisande.

Det vore en olyckligt om trenden blev sådan, speciellt när det är mycket enkelt att ha en säker och pålitlig cookiehantering som respekterar besökarens integritet. Det krävs en aktiv insats av varje användare av en webbläsare om hanteringen av cookies skall vara korrekt i den egna webbläsaren, men trots det kan cookies komma att sparas i strid med de inställningar som man har valt om man besöker vissa webbplatser.

De webbplatser som använder sig av korrekta 1:a parts cookie kommer enbart att sända ut cookies som kommer från dem och deras eventuella leverantör av webbstatistik. Använder de en 3:e parts cookie skall den blockeras av ovanstående inställning i Firefox, så sker idag med en stor majoritet av lösningarna för webbstatistik utom de system vilka ignorerar inställningarna och smiter förbi. Säkerställ att det system för webbstatistik som används av er har en tydlig och säker cookiehantering, även utifrån besökarens perspektiv.

Extern länk:

PTS

---