Portál AbcLinuxu, 29. prosince 2025 18:01


Chyba ve Firefoxu vystavuje přihlašovací údaje

V Mozille Firefox byla nalezena chyba ve správci hesel, který může nepozorovaně vložit uživatelovy údaje do formuláře na jiné stránce ze stejné domény. Formulář přitom ani nemusí být viditelný a touto chybou se daří jednoduše a transparentně získat data už nyní. Problém byl nahlášen a píše o něm i Netcraft.

22.11.2006 06:57 | Luboš Doležel (Doli) | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

22.11.2006 08:52 DabelS | skóre: 7 | Bučovice
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Odpovědět | Sbalit | Link | Blokovat | Admin
Týká se to všech verzí Firefoxe?
22.11.2006 09:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Nejspíš ano, protože se týká obecně způsobu, jakým FF zachází s údaji z PasswordManageru – vyplňuje je do formuláře v určité doméně, ale už nekontroluje, kam je nastaveno odesílání formuláře. Pokud tedy někdo má možnost vložit na původní doménu HTML kód (třeba do diskuze, wiki apod.) s formulářem odkazujícím na svůj server, PasswordManager "předvyplní" údaje do jeho formuláře.

Stejnou chybou údajně (dle BugZilly) trpí i MSIE.
22.11.2006 09:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Pokud tedy někdo má možnost vložit na původní doménu HTML kód (třeba do diskuze, wiki apod.) s formulářem odkazujícím na svůj server
Nemusí to být je možnost někam vložit HTML kód s formulářem, to jde ošetřit (třeba nepovolit vkládat tagy form, input atd.), ale může jít o vkládání celých stránek – např. uživatelské stránky na adrese http://www.example.com/~user mohou ukrást heslo z domény www.example.com (např. tedy na VŠ login do školního intranetu nebo informačního systému).
22.11.2006 10:03 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Odpovědět | Sbalit | Link | Blokovat | Admin
Řešení je jednoduché, CTRL + SHIFT + DEL a všechna zapamatovaná hesla odstranit. Pamatujete si je? :-)
Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
22.11.2006 11:30 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Řešením je pamatování si hesel vůbec nezapínat (nebo vypnout hned po instalaci, už si nepamatuji, co je default).
22.11.2006 12:56 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Nevím jestli to lze vypnout globálně (asi ano), ale u každého hesla se to ještě navíc ptá. Takže dávat 'Nepamatovat nikdy'.
Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
22.11.2006 11:12 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Chyba ve Firefoxu vystavuje přihlašovací údaje
Odpovědět | Sbalit | Link | Blokovat | Admin
Libi se mi, jak vyplnuje hesla Opera. Cely proces vyplneni a odeslani hesla dela UI prohlizece ve sve rezii bez pouziti kodu prihlasovaci stranky.

Tim lze elegantne zabranit takovym vecem, jako je odesilani hesel pres AJAX nebo zmena action cile formulare onsubmit udalosti. Neresi to sice problem, o kterem je tahle chyba (na to staci dost prisna kontrola URL zdroje a cile), ale obecne je to dobry zpusob, jak ukocirovat dynamicke stranky.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.