r   e   k   l   a   m   a
r   e   k   l   a   m   a

Firefox nadal dziurawy

Strona główna Aktualności

Mimo niedawnego patchowania menedżer haseł w Firefoksie pozostaje w dalszym ciągu dziurawy.

Jak wiadomo, menedżer haseł wpisuje automatycznie loginy i hasła w polach formularzy logowania. Problem polegał na tym, że robił to także dla podobnych formularzy znajdujących się w tej samej domenie. Jeśli więc była możliwość tworzenia stron z formularzami przez atakującego w tej samej domenie w której znajdował się formularz logowania wykorzystywany przez ofiarę to atakujący mógł wykraść jej hasło jeśli udało mu się skłonić ofiarę do wejścia na jego stronę. Programiści Firefoksa stworzyli zabezpieczenie poprzez sprawdzanie dokąd są wysyłane dane. Okazuje się jednak, że login i hasło można pobrać JavaScriptem korzystając z modelu DOM (Document Object Model). Udostępniono demo, które pokazuje sposób wykorzystania dziury. Co ciekawe, działa ono także w przeglądarce Safari.

Twórcy Firefoksa wiedzą o problemie i dyskutowali o nim. Zwyciężył pogląd, że jeśli atakujący może tworzyć strony na serwerze to może też wykonywać ataki w inny sposób. Niestety sytuacja nie jest tak prosta i problem z menedżerem haseł nadal pozostaje realnym zagrożeniem. Zabezpieczyć się można wyłączając JavaScript (co spowoduje problemy z wieloma stronami) lub korzystając z NoScript. Można też nie zapamiętywać haseł w tych serwisach, które pozwalają na tworzenie stron wielu użytkownikom.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.