Firefox 2.0.0.5 je venku teprve několik málo dní a už v něm byla objevena velmi nepříjemná bezpečnostní chyba. Podle zprávy zaslané do mailing listu Full-Disclosure, se speciálně upravená webová stránka může dostat k heslům uloženým ve Správci hesel. Ke zneužití je potřeba mít aktivovaný JavaScript. V listopadu 2006 byla opravena podobná chyba, která ovšem JavaScript nevyžadovala. Očekáváme, že oprava bude vydána velmi brzy.
Nový Firefox 2.0.0.5 obsahuje bezpečnostní chybu
24. 7. 2007
16
nových názorů
-
anonymníAle ty truhlíku....
Opravená verze FF tj.2.0.0.6 už je ve verzi RC.Tedy za pár dnů je zde finální verze venku.Který jiný prohlížeč má podobně rychlé opravy? Snad ne tragický IE7,nebo nedej bože zabugovaná padající Opera (mimochodem kdo bude hledat problém v softu který nemá ani jedno procento uživatelů,že:)))))) -
-
DC (neregistrovaný)Vsechny ty "chyby" jsou jen zneuzitim neceho co nabizi FF jako plus. Tady to je tak, ze kdyz si explicitne REKNETE, ze chcete ulozit heslo, tak si ho zapamatuje a pri pristi navsteve stejne stranky tam ty udaje doplni sam. Jde o to, ze tu kombinaci jmeno:heslo nevaze ke konkretni komplet URL, ale k domene. To na jednu stranu umoznuje doplnovani i v dynamickych strankach, ktere se ruzne jmenuji (ale jde fakticky o jednu), ale zaroven i ten "uktok". Kdyz nekdo dokaze protlacit javascript na STEJNY SERVER pro nejz mate ulozene nejake heslo tak se pres JS dokaze podivat do tech policek pred-vyplnenych od prohlizece. Podle me je otazka do jake miry je tohle bezpecnostni chyba - mozna bych pridal moznost, aby se hesla pamatovaly, ale predvyplnily se jen pro IDENTICKE URL jako na nemz byly zadany. Nebo - mozna je tohle lepsi - nekde uvnitr implementace JS a DOM zakazat skriptum pristup k obsahu policek, pokud si je browser oznacil, ze do nich vlozil zapamatovanou sensitive informaci.
To prvni je min trhly nez to druhy, ale oboji se da vyresit tak, ze si vypnete automaticke doplnovani hesel. -
DC (neregistrovaný)Teda tim chci rict, ze to jsou "chyby" (to je vubec diskutabilni oznaceni) naprosto jineho kalibru nez to co zname z IE. V IE bezproblemu slozite browse nebo pustite libovolny kod PRIMO NA CPU - ve FF to jsou takovehle triky jak obalamutit uzivatele, apod. Viz "chyba" typu "Bleee vas prohlizec klidne nekoho pusti na http://www.seznam.cz@zakodovana_skutecna_stranka a vy si myslite, ze jdete na seznam a pritom neee". Stejne tak tahle nova "chyba" - na prihlasovaci strance k serveru je formular, do nejz si zadate heslo. Jaka je asi pravdepodobnost, ze na tuhle (vetsinout prakticky statickou, s obsahem exkluzivne od provozovatele serveru) stranku nekdo propasuje svuj JAVASCRIPT?
Navic totalni ochrana existuje i na tohle - pokud mate pro dany formular zapamatovane vic nez jedno jmeno, nic se samo nevyplni. Clovek by to tam musel sam zadat - to by asi byl pekny idiot, kdyby svoje heslo zadal do nejakeho neznameho formulare, nebo v pripade jak rikali "objevitele", pokud by byl hidden, ze by o tom ani nevedel: presne tak, ani by o tom nevedel a nemel by tam ty hodnoty jak dostat. Staci mit ulozene vic jak jedno username a jste v klidu. -
papouch (neregistrovaný)jako na vetsinu problemu, i na tenhle existuje uzitecny doplnek...
https://addons.mozilla.org/en-US/firefox/addon/722
