Błąd w Firefoksie 2.0 - uwaga na menedżer haseł
Marcin Maj 22-11-2006, 06:51
Mozilla poinformowała o błędzie w przeglądarce Firefox, który w pewnych warunkach może być wykorzystany do kradzieży takich danych, jak nazwa użytkownika i hasło. Dopóki producent nie wyda poprawki, warto zastosować tymczasowe rozwiązanie.
Błąd dotyczy sposobu zarządzania hasłami przez menedżer haseł . W Firefoksie hasło wpisane do formularza zapamiętywane jest dla całej domeny. Kradzież danych jest możliwa, jeśli tylko złodziej danych będzie mógł założyć sobie stronę w takiej samej domenie jak ofiara, a jest to możliwe np. w serwisach społecznościowych.
Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina.
Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki.
Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.
Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina.
Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki.
Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Ostatnie artykuły:
 |
 |
|
|
|
|
|
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.