Firefox 2.0 lekt wachtwoorden
Een nieuw ontdekt beveiligingslek in Firefox 2.0 zorgt ervoor dat aanvallers opgelagen wachtwoorden kunnen stelen zonder dat een gebruiker dit door heeft. Het probleem wordt veroorzaakt door een lek in de Firefox Password Manager die misbruikt kan worden om gebruikersnamen en wachtwoorden naar een aanvaller te sturen.
Volgens de ontdekkers gaat het om een "Reverse Cross-Site Request" lek, waarbij aanvallers webformulieren op legitieme websites plaatsen. Firefox vult automatisch opgeslagen gebruikersnamen en wachtwoorden in dit soort formulieren. Het probleem is dat de bestemming van de ingevulde gegevens niet gecontroleerd wordt voordat de gebruiker die submit. Daarnaast kan een aanvaller een webformulier voor het zicht verbergen. Firefox vult dan automatisch gebruikersnaam en wachtwoord in. Als de gebruiker dan ook nog op een onzichtbare "image link" klikt, worden de gegevens verstuurd.
Mozilla heeft bevestigd dat het om een bug gaat, en zou al aan een oplossing werken in versie 2.0.0.1 of 2.0.0.2. Ook Internet Explorer zou kwetsbaar zijn, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. Meer informatie is te vinden in deze advisory waarin ook een demonstratie is te vinden.
je weet tenslotte nooit welke fouten er in de toekomst (nu dus) gevonden
worden. Het betekent alleen wat meer klopwerk, zo nu en dan.
Gebruiksgemak v.s. veiligheid, een keuze die je maakt ...
Firefox en SeaMonkey niet te gebruiken en als het kan,
eventueel te legen.
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!
Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!
Dan is je wachtwoord (meestal versluiteld of gehashed) in een cookie
opgeslagen. Als je vaak je cookie's leeg schopt dan komt dit voor.
Vooral als ik bezig was een berichtje in te typen.(zie bericht hier boven)
En laat ik nu al mijn persoonlijke gegevens ingetypt hebben
om op een Forum geregistreert te staan. Ineens Foetsie.
Bij IE lukte het wel,maar ik zie tijdens mijn sessies dat ,A het beeld even
ietsjes beweegt,en B weer uitgelogd.
Voorlopig zit FF in de Prullebak. Weet iemand iets veiligers?
forum-site, en is bovendien meer een interface probleem dan
een security hole.
Dat FF wachtwoorden lekt is wel een grote fout, maar dat is
'maar' een bug, de 'show passwords' optie vind ik echter
belachelijk.
Ik kan er met mijn hoofd niet bij dat je gewoon de
opgeslagen wachtwoorden op kan vragen. Welk nut heeft dat
nou, behalve als je een wachtwoord van iemand anders wil weten.
Overigens spel je geregistreerd met een d, en prullenbak met
een n.
onterecht blijkt en afgestraft wordt.
dat neemt niet weg dat ik een aanhanger blijf van FF. ik
maak de wachtwoordenlijst wel ff leeg :o)
Wel een typefout gemaakt in de haast. (druk)
En onder Anoniem zitten soms bekenden. :o)
Mocht ik nou even niet reageren,ik vrees dat ik verhuiswagen moet vullen.
En wel meer van die dingen.
Wie er goed kan behangen is welkom.
Even de groetjes, al weet ik altijd wel een PC te staan.
Dat klinkt eerder als een fout aan de kant van de
forum-site(...)
toepassingen waar derden code kunnen plaatsen c.q. injecteren.
Neem bijvoorbeeld HTML-email en webmail.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
