Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Błąd w Firefoksie 2.0 - uwaga na menedżer haseł

22-11-2006, 06:51

Mozilla poinformowała o błędzie w przeglądarce Firefox, który w pewnych warunkach może być wykorzystany do kradzieży takich danych, jak nazwa użytkownika i hasło. Dopóki producent nie wyda poprawki, warto zastosować tymczasowe rozwiązanie.

Błąd dotyczy sposobu zarządzania hasłami przez menedżer haseł . W Firefoksie hasło wpisane do formularza zapamiętywane jest dla całej domeny. Kradzież danych jest możliwa, jeśli tylko złodziej danych będzie mógł założyć sobie stronę w takiej samej domenie jak ofiara, a jest to możliwe np. w serwisach społecznościowych.

Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina.

Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki.

Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.

Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *