Via JavaScript en cross-site scripting is het vrij eenvoudig voor kwaadaardige websites om wachtwoorden uit de Firefox password manager te stelen. Dat laat beveiligingsexpert Jeremiah Grossman volgende week tijdens de Black Hat Las Vegas conferentie zien. Tijdens zijn lezing "Breaking Browsers: Hacking Auto-Complete" demonstreert Grossman niet alleen de aanval op Firefox, maar ook hoe met JavaScript de auto-complete data in Internet Explorer 6 en 7 te stelen is.
Cookies
Daarmee is het mogelijk om voor- en achternaam, aliassen, e-mailadressen, adresgegevens en andere informatie van gebruikers te achterhalen. Ook is het mogelijk om de browser alle cookies te laten verwijderen, waardoor de browser de gebruiker automatisch uit alle lopende sessies uitlogt.
De technieken die Grossman laat zien zijn al langer bekend, maar nog niet overal doorgedrongen. "Voor welke reden dan ook zijn ze genegeerd door browserleveranciers en beveiligingsonderzoekers. Tijd om er eens de aandacht op te vestigen", aldus de hacker.
Deze posting is gelocked. Reageren is niet meer mogelijk.