Firefox nadal dziurawy

Strona głównaFirefox nadal dziurawy
21.07.2007 02:24
Grzegorz Niemirowski
Grzegorz Niemirowski

Mimo niedawnego patchowania menedżer haseł w Firefoksiepozostaje w dalszym ciągu dziurawy. Jak wiadomo, menedżer haseł wpisuje automatycznie loginy i hasła wpolach formularzy logowania. Problem polegał na tym, że robił totakże dla podobnych formularzy znajdujących się w tej samejdomenie. Jeśli więc była możliwość tworzenia stron z formularzamiprzez atakującego w tej samej domenie w której znajdował sięformularz logowania wykorzystywany przez ofiarę to atakujący mógłwykraść jej hasło jeśli udało mu się skłonić ofiarę do wejścia najego stronę. Programiści Firefoksa stworzyli zabezpieczenie poprzezsprawdzanie dokąd są wysyłane dane. Okazuje się jednak, że login ihasło można pobrać JavaScriptem korzystając z modelu DOM (Document Object Model). Udostępniono demo, które pokazuje sposób wykorzystaniadziury. Co ciekawe, działa ono także w przeglądarce Safari. Twórcy Firefoksa wiedzą o problemie i dyskutowali o nim. Zwyciężył pogląd, że jeśliatakujący może tworzyć strony na serwerze to może też wykonywaćataki w inny sposób. Niestety sytuacja nie jest tak prosta iproblem z menedżerem haseł nadal pozostaje realnym zagrożeniem.Zabezpieczyć się można wyłączając JavaScript (co spowoduje problemyz wieloma stronami) lub korzystając z NoScript. Można też nie zapamiętywać haseł wtych serwisach, które pozwalają na tworzenie stron wieluużytkownikom.

Udostępnij:
Wybrane dla Ciebie
Komentarze (64)