 Błąd w Firefoksie 2.0, uwaga na menedżer haseł |
Webme.pl Internetowe centrum informacji > Technologie > Software & OS's > Bezpieczeństwo systemu Windows  |
 23.11.2006, 12:22
Post
#1
|
|
 valid cue to your things Grupa: uzytkownik Postów: 1173 Wiek: 27 Tematów: 521 Dołączył: 13-11 06 Skąd: Kraków Nr użytkownika: 1  |
Mozilla poinformowała o błędzie w przeglądarce Firefox, który w pewnych warunkach może być wykorzystany do kradzieży takich danych, jak nazwa użytkownika i hasło. Dopóki producent nie wyda poprawki, warto zastosować tymczasowe rozwiązanie.
Błąd dotyczy sposobu zarządzania hasłami przez menedżer haseł . W Firefoksie hasło wpisane do formularza zapamiętywane jest dla całej domeny. Kradzież danych jest możliwa, jeśli tylko złodziej danych będzie mógł założyć sobie stronę w takiej samej domenie jak ofiara, a jest to możliwe np. w serwisach społecznościowych. Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina. Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki. Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem. źródło: di.com.pl -------------------- www.IPSlink.pl - profesjonalne rozwiązania Invision Power Board, support IPB, PL ACP
www.supportIPB.com - support for opartych na IPB kontakt: GG: 7129 e-mail: biuro@ipslink.pl | ipb@ipbsupport.org | ipb@supportipb.com założyciel webMe.pl - tatuś ;) |
 |
 
|
|
23.11.2006, 23:50
Post
#2
|
|
|
Grupa: uzytkownik Postów: 379 Wiek: N/N Tematów: 197 Dołączył: 13-11 06 Nr użytkownika: 2 |
Cale szczescie ze nie uzywam firefoksa.
-------------------- |
|
|
|
|
25.11.2006, 12:47
Post
#3
|
|
|
valid cue to your things Grupa: uzytkownik Postów: 1173 Wiek: 27 Tematów: 521 Dołączył: 13-11 06 Skąd: Kraków Nr użytkownika: 1 |
A szkoda. Wg internautów to bardzo dobra przeglądarka, jeśli nie najlepsza..
Mnóstwo dodatków itp. ( jakiej przeglądarki używasz?) -------------------- www.IPSlink.pl - profesjonalne rozwiązania Invision Power Board, support IPB, PL ACP
www.supportIPB.com - support for opartych na IPB kontakt: GG: 7129 e-mail: biuro@ipslink.pl | ipb@ipbsupport.org | ipb@supportipb.com założyciel webMe.pl - tatuś ;) |
|
|
|
|
27.11.2006, 18:03
Post
#4
|
|
 grafik webme.pl Grupa: grafik Postów: 55 Wiek: 23 Tematów: 5 Dołączył: 26-11 06 Nr użytkownika: 49 |
hmm ta wiadomość mnie zmartwiła bo używam firefoksa
 Ja ze względu działalności używam 3 przeglądarek, ale najczęściej ff mam nadzieje ,że szybko to naprawią.
-------------------- |
|
|
|
|
30.11.2006, 18:51
Post
#5
|
|
 Grupa: redaktor Postów: 478 Wiek: 23 Tematów: 156 Dołączył: 15-11 06 Skąd: Tychy Nr użytkownika: 25 |
Ten problem dotyczy nie tylko użytkowników firefox'a, ale jak widać również tych używających zwyklego IE (szkoły, co poniektóre mniejsze firmy...)
CYTAT Zarówno w Firefoksie 2, jak i Internet Explorerze 7 występuje luka, która pozwala atakującemu na kradzież haseł użytkownika. Robert Chapin, odkrywca błędu, nazwał go reverse cross-site request (RCSR). Cyberprzestępca może ukraść użytkownikowi hasło, podsuwając mu fałszywy formularz. Firefox Password Manager automatycznie wstawi tam przechowywane przez siebie hasła i nazwy użytkownika i wysyła je, bez wiedzy użytkownika, atakującemu. W podobny sposób przebiega atak na Internet Explorera, chociaż ta przeglądarka zapewnia większe bezpieczeństwo. Chapin poinformował, że luka ta wykorzystywana jest już w serwisie MySpace, a na niebezpieczeństwo narażony jest każdy, kto korzysta z forów czy blogów pozwalających użytkownikom na dodawanie własnego kodu HTML do witryny. Firma Netcraft, która odkryła fałszywe formularze na MySpace poinformowała, że były one przechowywane na serwerze serwisu. Tak więc nawet bardzo ostrożni użytkownicy mogli paść ofiarą przestępców. Mozilla Foundation została poinformowana o problemie przed dwoma tygodniami. Tego typu atak jest łatwiej przeprowadzić za pomocą Firefoksa, gdyż przeglądarka ta automatycznie wypełnia każdy formularz. IE7 wypełnia tylko te, które pochodzą z tego samego serwera, co witryna, na której się znajdują. Źródło: ArcaBit Tylko, że chyba mogli by wcześniej zrobić takie testy. Mam nadzieję, że w przyszłości te błędy będą wychwytywane wcześniej
|
|
|
|
|
30.11.2006, 19:17
Post
#6
|
|
|
valid cue to your things Grupa: uzytkownik Postów: 1173 Wiek: 27 Tematów: 521 Dołączył: 13-11 06 Skąd: Kraków Nr użytkownika: 1 |
CYTAT(godfather @ 30.11.2006, 17:51)  Tylko, że chyba mogli by wcześniej zrobić takie testy. Mam nadzieję, że w przyszłości te błędy będą wychwytywane wcześniej Niby tak, ale 20 testerów to nie to samo co kilka milionów 
-------------------- www.IPSlink.pl - profesjonalne rozwiązania Invision Power Board, support IPB, PL ACP
www.supportIPB.com - support for opartych na IPB kontakt: GG: 7129 e-mail: biuro@ipslink.pl | ipb@ipbsupport.org | ipb@supportipb.com założyciel webMe.pl - tatuś ;) |
|
|
|
|
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:
|
Wersja Lo-Fi | Aktualny czas: 19.05.2012 - 8:18 |
Polecane strony: