Dziura w przeglądarce Mozilla Firefox 2.0 Strona główna Aktualności22.11.2006 04:38 Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Mozilla wprowadza VPN na Windows i smartfony. Niestety na razie bez Linuxa 19 cze 2020 Jakub Krawczyński Oprogramowanie Bezpieczeństwo 87 Firefox 76 dostępny do pobrania – poinformuje cię o wyciekach danych logowania 4 maj 2020 Oskar Ziomek Oprogramowanie Internet 62 Firefox 84 odetnie się od Adobe Flash Playera. Obsługa zostanie wyłączona w grudniu 18 maj 2020 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 52 Jak ustawić stronę startową w przeglądarce internetowej? Podpowiadamy 21 lip 2020 Michał Skorupka Internet Poradniki 0
Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji