Dziura w przeglądarce Mozilla Firefox 2.0 Strona główna Aktualności22.11.2006 04:38 Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Firefox Monitor został dopracowany i już działa: sprawdzi, czy twoje dane są bezpieczne 25 wrz 2018 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 25 Firefox 63 jest szybszy na desktopie, dostał picture in picture na Androidzie 23 paź 2018 Anna Rymsza Oprogramowanie 97 Firefox dostanie VPN? Nie, to tylko reklama płatnego ProtonVPN 22 paź 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 18 Przeglądarki stracą obsługę starych wersji TLS. Zmiany dotyczą m.in. Chrome'a, Firefoksa i Safari 16 paź 2018 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 25
Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji