Re: Gravissima falla di sicurezza in Firefox 2.0 che permette ad un sito di rubare le password salvate
Von: Gialloporpora (sandrorimuovidll@messaggiano_spam.mi.net) [Profil]
Datum: 23.11.2006 00:14
Message-ID: <ek2lkl$hg9$1@tdi.cu.mi.it>
Newsgroup: it.comp.os.win.xp
Datum: 23.11.2006 00:14
Message-ID: <ek2lkl$hg9$1@tdi.cu.mi.it>
Newsgroup: it.comp.os.win.xp
Risposta al messaggio di Elio : > invece di leggere e fidarti del commento scritto probabilmente da un > Firefoxiano frustrato, prova tu stesso e vedrai che IE non è affatto > vulnerabile, perchè non ha l'autocompletamento dell'utente (come fra l'altro > ha già detto P4 su it.comp.sicurezza.varie). > > A quel stato del BUG non è un commento di un firefoxiano frustrato, anche IE7 è vulnerabile agli attacchi tramite RCSR e nello caso specifico di Myspace avrebbero fregato anche IE perchè se l'utente completa il form le password vengono passate all'hacker trovandosi sullo stesso dominio. Microsoft però non rende pubbliche le discussioni a riguardo e non compila pagine su cui testare le vulnerabilità. Firefox avendo l'autocompletamento dei form aggrava la pericolosità del BUG in quanto si può nascondere il form con un'immagine e quando si clicca sull'immagine i dati vengono passati senza che l'utente se ne accorga. Soluzioni: Strumenti -> Opzioni -> Sicurezza e togliere la spunta da "ricorda le password" oppure usare password manager timeout che vi avverte ogni volta che vengono passati dati sensibili con un prompt (quindi anche se attivati tramite un click su una foto). Nel caso di Myspace questa seconda soluzione non servirebbe perchè il form sembrava identico all'originale e l'utente darebbe il consenso convinto di completare il form autentico. Ciao -- Il mio Blog - http://www.gialloporpora.altervista.org/Blog * Faq di /it-alt.comp.software.mozilla/: http://snipurl.com/mozfaq[ Auf dieses Posting antworten ]
Antworten
- THe ZiPMaN e' un coglione col botto (23.11.2006 09:46)