Hlavní navigace

Názor ke zprávičce Nový Firefox 2.0.0.5 obsahuje bezpečnostní chybu od DC - Vsechny ty "chyby" jsou jen zneuzitim neceho co...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 24. 7. 2007 12:01

    DC (neregistrovaný)
    Vsechny ty "chyby" jsou jen zneuzitim neceho co nabizi FF jako plus. Tady to je tak, ze kdyz si explicitne REKNETE, ze chcete ulozit heslo, tak si ho zapamatuje a pri pristi navsteve stejne stranky tam ty udaje doplni sam. Jde o to, ze tu kombinaci jmeno:heslo nevaze ke konkretni komplet URL, ale k domene. To na jednu stranu umoznuje doplnovani i v dynamickych strankach, ktere se ruzne jmenuji (ale jde fakticky o jednu), ale zaroven i ten "uktok". Kdyz nekdo dokaze protlacit javascript na STEJNY SERVER pro nejz mate ulozene nejake heslo tak se pres JS dokaze podivat do tech policek pred-vyplnenych od prohlizece. Podle me je otazka do jake miry je tohle bezpecnostni chyba - mozna bych pridal moznost, aby se hesla pamatovaly, ale predvyplnily se jen pro IDENTICKE URL jako na nemz byly zadany. Nebo - mozna je tohle lepsi - nekde uvnitr implementace JS a DOM zakazat skriptum pristup k obsahu policek, pokud si je browser oznacil, ze do nich vlozil zapamatovanou sensitive informaci.

    To prvni je min trhly nez to druhy, ale oboji se da vyresit tak, ze si vypnete automaticke doplnovani hesel.