Firefox semina le password

Il browser di Mozilla sembra soffrire nuovamente di una vulnerabilitÓ nel suo password manager, sfruttabile da malintenzionati per rubare le identitÓ digitali di un utente

Roma - Stando ad un post pubblicato lo scorso weekend sulla celebre mailing list di sicurezza Full Disclosure, Firefox 2.x contiene una vulnerabilità che potrebbe consentire ad un sito web maligno di rubare le password dell'utente.

La falla si trova nel password manager del browser, un componente che lo scorso anno era già incorso in un problema analogo. Gli esperti affermano che se si ha JavaScript attivato e si consente a Firefox di memorizzare le proprie password, questa nuova debolezza rappresenta una seria minaccia.

Una minaccia di cui per altro esiste già un exploit proof of concept ospitato in questa pagina di Heise Security: con questo test è possibile determinare se il proprio browser è vulnerabile.
Heise sostiene che il suo test funziona anche con Safari, e questo perché il password manager del browser di Apple si comporta in modo simile a quello di Firefox.

Una dettagliata descrizione della vulnerabilità è stata pubblicata qui da Heise.
121 Commenti alla Notizia Firefox semina le password
Ordina
  • L'exploit serve solo a prendere la password per il sito che contiene questo codice "malevolo", cioè se vado su pippo.com e sul codice del sito pippo, hanno utilizzato l'exploit allora possono prendere la password, ma se sto entrado lì, la password gliel'ho già data..., allora che semina ?
    Come al solito per attirare le pecore, fate titoli disinformativi, questo exploit non permette in modo alcuno di rubare una password salvata. Fate un po i seri e informate invece...
    non+autenticato
  • Se si inserisce una "Master Password" nelle opzioni di firefox, la vulnerabilità non funziona
  • Io la uso e funziona, se l'hai inserita precedentemente per far appunto comparire una delle tue password in altri siti!
    non+autenticato
  • Se una persona puo' mettere tale codice malvagio per rubare una password su un server allora piu' semplicemente puo' prendere direttamente la password sul server in mille altri modi piu' diretti senza bisogno di questo codice...
    questo fatto riportato da PI e' solo un semplice espediente per dimostrare qualcosa di inutile non so a che scopo..
    non+autenticato
  • Scusate, ma questa cosa non mi suona per niente bene, anzi mi pare una bufala...

    Per prima cosa non "ruba" le password memorizzate ma solo quella eventualmente impostata per il sito corrente.

    Secondo, se un sito richiede userid e password per l'accesso a qualche area, in cosa consisterebbe il "codice malevolo"? Se userid e password sono dello stesso sito e' normale che il password manager o anche io stesso possa digitarlo, altrimenti dove dovrei usarlo, dal meccanico?

    Terzo, se mi si dice "si, ma un hacker potrebbe inserire una pagina che via javascript legge al volo user e pw degli utenti anche se non e' una pagina riservata, e mandarla a chi gli pare" io rispondo che un hacker che puo' fare questo lo puo' anche fare su altre pagine, inclusa quella dove legittimamente si fa login o qualsiasi altra, o metterne una dove simula la login originale e farmi digitare (quindi non c'entra ne' il password manager ne' Firefox) questi dati.

    Quarto, si e' detto "ma perche' con IE non accade?". Vero, non succede. Ma se guardate il codice, c'e' una parte dove riconosce il browser dell'utente, quindi mi sembra molto probabile che questa "scoperta" sia un test abilmente "predisposto" per far parlare di se' e/o attirare tante persone sul sito di questi heise....Occhiolino
    non+autenticato
  • Il bug consiste in questo:

    Vai sul sito A.
    Il sito A ti chiede una password che tu inserisci e salvi.
    Il sito A ti ri-chiede la password.
    Ffox ti facilita inserendola da solo al posto tuo.
    Il sito A può accedere tramite javascript a quello che ffox ha inserito e quindi prelevare la password.


    Insomma.... Il problema vero, come al solito, è che Ffox è troppo potenteOcchiolino
    Finchè a dominio uguale corrisponde sito uguale, questo non è assolutamente un bug, ma una feature che ti semplifica l'immissione di password (come hai fatto notare anche tu).
    Il problema è su siti comunitari che non offrono domini di secondo livello ai proprio utenti ma li rilegano in percorsi differenti all'interno dello stesso dominio (geocities per esempio o myspace coma ha fatto notare qualcun altro). Solo in quei siti questa feature può ritorcersi contro l'utente e diventare quindi un bugOcchiolino


    Perché in IE non succede? Perché su IE ti devi mettere le password a mano se vai su una pagina diversa dello stesso sito e questo te la richiedeOcchiolino
    non+autenticato
  • Il problema è che quel javascript non fa altro che richiedere 2 variabili da una FORM con uno specifico nome, e il browser non maschera al javascript la variabile contenuta nel campo password.

    questo vuol dire che se si riesce in qualche modo (visto che io ero convinto che modzilla compili autonomamente SOLO le password per il sito per cui sono state salvate) a far AUTOCOMPILARE dal browser i campi di una form nominati identicamente a quelli che ne so, del login di una banca, allora è possibile rubare la password.. ma la vedo dura, forse l'unico modo (non voglio aiutare i lamer con questo) può essere modificare il file hosts di un pc in modo tale da non risolvere piu con i DNS un IP di un sito da cui mi interessa una password, cosicchè quando l'utente prova a entrarci viene dirottato su un sito di phishing senza che il browser se ne accorga, e puff.. compila i campi e scama la password.. ovviamente bisogna far girare del codice sul pc per modificare hosts oppure bisogna avere almeno l'accesso fisico per 30 secondi... veloce astuto e difficile da rilevare...se fatto bene
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 23 discussioni)