Dziura w przeglądarce Mozilla Firefox 2.0 Strona główna Aktualności22.11.2006 04:38 Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Mozilla lukę po zwolnionych pracownikach chce łatać wolontariuszami 29 sty 2020 Piotr Urbaniak Oprogramowanie Biznes 112 Firefox 75 dostępny do pobrania. Mozilla chwali ulepszony pasek adresu 7 kwi 2020 Oskar Ziomek Oprogramowanie Internet 91 Mozilla Firefox w wersji 73 już jest. Sprawdzamy, co nowego 11 lut 2020 Jakub Krawczyński Oprogramowanie Internet 98 Nowy Firefox powstanie na czas, ale koronawirus może wpłynąć na późniejszy rozwój 30 mar 2020 Oskar Ziomek Oprogramowanie Internet Biznes Koronawirus 62
Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji