Chyba ve Firefoxu dovoluje získat uložená hesla

22. 11. 2006 12:58 Petr Krčmář

Nálepky:

Firefox

Včera byl nahlášen velmi nepříjemný bezpečnostní problém ve Firefoxu. Umožňuje získat hesla uložená v prohlížeči uživatele. Konkrétně je možno na stejné doméně, na které má uživatel svůj účet, vytvořit podvodnou stránku, která bude obsahovat přihlašovací formuláře. Protože mohou být kolonky skryté, uživatel ani nemusí vědět, že jeho prohlížeč vložil jméno a heslo do nesprávných rukou.

Podmínkou samozřejmě je, aby byly obě stránky (pravá i podvodná) na stejné doméně, to ale není problém zařídit na různých multiuživatelských webech nebo na portálech, kam si uživatel může přidávat vlastní stránky. Řešením je v současné době použití rozšíření Master Password Timeout, které se při odesílání informaci vždy dotáže.

(Zdroj: Slashdot)

Dále čtěte…

Co přinese chystaný Firefox 13? 30. 5. 2012 9:56
Firefox přidá funkci obnovy i do nouzového režimu 29. 5. 2012 11:35
Firefox zablokoval starší verze Flash pluginu 25. 5. 2012 11:06
Firefox Beta 14 již i pro OS Android 2.2 16. 5. 2012 10:25
Vyhrajte tablet s OS Android 11. 5. 2012 6:58

Předchozí zprávička Následující zprávička

Twitter

Jagg

Delicious

n00b (neregistrovaný)

22. 11. 2006 16:49 Nový

Aááá :-)

celé vlákno

Zajímavé čtení je v bugzille. Napřed zavládne zděšení, pak si všichni uleví, že prohlížeč jenž okopírovali se chová stejně a nakonec to snad okopírují od Opery. :)

Bohužel IE7 postiženo není, což je asi zklame. Prostě bezpečný prohlízeč. ;-)

No hlavně že to dokáže vyřešit rozšíření. Bez nich by si Fx ani neškrtl.

Odpovědět

Další nový názor

Jarda (neregistrovaný)

23. 11. 2006 8:10 Nový

Cedník

celé vlákno

Říkáme cedník, myslíme Firefox. Říkáme Firefox, myslíme cedník :)

Odpovědět

Další nový názor

aura:99

HKMaly

23. 11. 2006 8:11 Nový

Master Password Timeout - vazne ?

celé vlákno

Podle popisu Master Password Timeout se mi nezda, ze by se ptalo jestli ma odeslat informaci. Spis se pta na master heslo, ktere osobne nastavene nemam.

Osobne by mi nejvic vyhovovalo reseni typu "About the only reliable solution might be to make the password behave like the multi-password case even when there's only one: require the user to start typing in the form before filling it in or bringing up a drop-down to choose from. And only accept authentic events, of course, not script-generated key events."

Odpovědět

Další nový názor

aura:99

HKMaly

23. 11. 2006 8:15 Nový

Re: Master Password Timeout - vazne ?

celé vlákno

A k tomu pridat "One possibility (which I've been considering for addressing this in Camino)
could be to remember passwords for a domain, but also remember
white-/black-lists of URLs for each one, and prompt the user for any new URL.
E.g., if a user logs in to foo.com/login.html and stores the password, the
password would auto-fill on foo.com/login.html. If the user goes to
foo.com/login-try-again.html, they would get an alert, and choose whether or
not they want to fill there (with an option to remember)."