Hlavní navigace

Chyba ve Firefoxu dovoluje získat uložená hesla

Sdílet

Petr Krčmář 22. 11. 2006

Včera byl nahlášen velmi nepříjemný bezpečnostní problém ve Firefoxu. Umožňuje získat hesla uložená v prohlížeči uživatele. Konkrétně je možno na stejné doméně, na které má uživatel svůj účet, vytvořit podvodnou stránku, která bude obsahovat přihlašovací formuláře. Protože mohou být kolonky skryté, uživatel ani nemusí vědět, že jeho prohlížeč vložil jméno a heslo do nesprávných rukou.

Podmínkou samozřejmě je, aby byly obě stránky (pravá i podvodná) na stejné doméně, to ale není problém zařídit na různých multiuživatelských webech nebo na portálech, kam si uživatel může přidávat vlastní stránky. Řešením je v současné době použití rozšíření Master Password Timeout, které se při odesílání informaci vždy dotáže.

(Zdroj: Slashdot)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 22. 11. 2006 16:49

    n00b (neregistrovaný)
    Zajímavé čtení je v bugzille. Napřed zavládne zděšení, pak si všichni uleví, že prohlížeč jenž okopírovali se chová stejně a nakonec to snad okopírují od Opery. :)

    Bohužel IE7 postiženo není, což je asi zklame. Prostě bezpečný prohlízeč. ;-)

    No hlavně že to dokáže vyřešit rozšíření. Bez nich by si Fx ani neškrtl.
  • 23. 11. 2006 8:10

    Jarda (neregistrovaný)
    Říkáme cedník, myslíme Firefox. Říkáme Firefox, myslíme cedník :)
  • 23. 11. 2006 8:11

    bez přezdívky
    Podle popisu Master Password Timeout se mi nezda, ze by se ptalo jestli ma odeslat informaci. Spis se pta na master heslo, ktere osobne nastavene nemam.

    Osobne by mi nejvic vyhovovalo reseni typu "About the only reliable solution might be to make the password behave like the multi-password case even when there's only one: require the user to start typing in the form before filling it in or bringing up a drop-down to choose from. And only accept authentic events, of course, not script-generated key events."
  • 23. 11. 2006 8:15

    bez přezdívky
    A k tomu pridat "One possibility (which I've been considering for addressing this in Camino)
    could be to remember passwords for a domain, but also remember
    white-/black-lists of URLs for each one, and prompt the user for any new URL.
    E.g., if a user logs in to foo.com/login.html and stores the password, the
    password would auto-fill on foo.com/login.html. If the user goes to
    foo.com/login-try-again.html, they would get an alert, and choose whether or
    not they want to fill there (with an option to remember)."
  • 13. 1. 2007 6:02

    hstech (neregistrovaný)
    A nebylo by jednodušší prostě kolonky které jsou skryté, heslami nevyplňovat?