Firefox lek laat websites wachtwoorden stelen
Een beveiligingslek in Firefox 2.0.0.5 en Apple Safari zorgt ervoor dat kwaadaardige websites opgeslagen wachtwoorden en gebruikersnamen kunnen stelen. De wachtwoord manager bewaart automatisch logingegevens en plaats die informatie automatisch in de invulvelden als de gebruiker de volgende keer dezelfde website bezoekt. Dit gebeurt niet alleen op de pagina waar het wachtwoord is bewaard, maar op alle andere pagina's op de server die een soortgelijk formulier of invulvelden bevatten.
Het probleem doet zich vooral voor bij websites waar gebruikers hun eigen pagina's kunnen maken, zoals sociale netwerksites. Een aanvaller kan dan de invulvelden emuleren, en zo de informatie naar zijn eigen server laten sturen. Gebruikers wordt dan ook aangeraden om geen wachtwoorden en andere vertrouwelijke informatie op websites in te voeren waar gebruikers hun eigen pagina's met scripts kunnen plaatsen. Markus Bucher die de kwetsbaarheid ontdekte, heeft ook een demonstratie online gezet.
Sommige beveiligingsonderzoekers vinden het niet echt een probleem, omdat als je JavaScript op een server kan plaatsen, er andere mogelijkheden zijn om een wachtwoord te stelen.
in te stellen en het bewaren van gegevens, cookies en wachtwoorden af te
vinken.
capricornus
Sommige beveiligingsonderzoekers vinden het niet echt een
probleem, omdat als je JavaScript op een server kan
plaatsen, er andere mogelijkheden zijn om een wachtwoord te
stelen.
--
Nou.. die sommige onderzoekers moeten dus eens wakker
worden. Maak het GMail inlogformulier na en laat deze na
bijv 1 seconde via AJAX naar de server sturen. Niemand die
het merkt. Dit moeten ze alleen invullen als je op
https://www.gmail.com zit vind ik, dus mag van mij best wel
eens opgelost worden.
eens willen weten hoe ze dit dan zonder enige interactie van de gebruiker
willen doen. Het verkrijgen van het plain text password welteverstaan.
Dit is echt een smerige bug die zo snel mogelijk opgelost moet worden.
De volgende link, buit het lek beter uit, echter voordat de
code wordt uitgevoerd, wordt de gebruiker wel gewaarschuwd
onder FF 2.0.0.5 dat er "gevaarlijke" code wordt uitgevoerd
en moet je bevestigen dat je de code daadwerkelijk wilt
laten uitvoeren.
http://www.0x000000.com/hacks/hello.html
Het klopt dus dat er een eng lek is, dat gepatcht moet
worden. Echter dat al je wachtwoorden, zo maar voor het
oprapen "op straat" liggen, is niet juist.
Grappig detail: onder Konqueror kreeg ik ook de tweede voorbeeld code niet aan de praat, hoewel Java en Javascript waren ingeschakeld. Effe surfen met Konquerror dan maar, totdat het lek gepatcht is :-)
De test die in het artikel wordt genoemd, ging bij mij mis.
De volgende link, buit het lek beter uit, echter voordat de
code wordt uitgevoerd, wordt de gebruiker wel gewaarschuwd
onder FF 2.0.0.5 dat er "gevaarlijke" code wordt uitgevoerd
en moet je bevestigen dat je de code daadwerkelijk wilt
laten uitvoeren.
http://www.0x000000.com/hacks/hello.html
Het klopt dus dat er een eng lek is, dat gepatcht moet
worden. Echter dat al je wachtwoorden, zo maar voor het
oprapen "op straat" liggen, is niet juist.
Grappig detail: onder Konqueror kreeg ik ook de tweede voorbeeld code
niet aan de praat, hoewel Java en Javascript waren ingeschakeld. Effe
surfen met Konquerror dan maar, totdat het lek gepatcht is :-)
Dit heeft helemaal niets met elkaar te maken. Dat het mis ging heeft
waarschijnlijk iets te maken met het feit dat je de vulnerability niet snapt.
Het probleem zit hem in de wachtwoord manager die deze automatisch
invult bij een login form. Een aanvaller kan, indien deze gebruik kan maken
van javascript en html (meestal het geval op profielensites), een login form
aanmaken en middels document.formnaam.inputnaam.value de waardes
plain tekst opvragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
