image

Firefox password manager lekt wachtwoorden

dinsdag 20 juli 2010, 13:21 door Redactie, 7 reacties

Via JavaScript en cross-site scripting is het vrij eenvoudig voor kwaadaardige websites om wachtwoorden uit de Firefox password manager te stelen. Dat laat beveiligingsexpert Jeremiah Grossman volgende week tijdens de Black Hat Las Vegas conferentie zien. Tijdens zijn lezing "Breaking Browsers: Hacking Auto-Complete" demonstreert Grossman niet alleen de aanval op Firefox, maar ook hoe met JavaScript de auto-complete data in Internet Explorer 6 en 7 te stelen is.

Cookies
Daarmee is het mogelijk om voor- en achternaam, aliassen, e-mailadressen, adresgegevens en andere informatie van gebruikers te achterhalen. Ook is het mogelijk om de browser alle cookies te laten verwijderen, waardoor de browser de gebruiker automatisch uit alle lopende sessies uitlogt.

De technieken die Grossman laat zien zijn al langer bekend, maar nog niet overal doorgedrongen. "Voor welke reden dan ook zijn ze genegeerd door browserleveranciers en beveiligingsonderzoekers. Tijd om er eens de aandacht op te vestigen", aldus de hacker.

Reacties (7)
20-07-2010, 13:27 door Rubbertje
Ik begin er steeds meer over te twijfelen of ik FF blijf gebruiken :(
20-07-2010, 13:36 door Preddie
Door Bastos: Ik begin er steeds meer over te twijfelen of ik FF blijf gebruiken :(

ach FF is een goeie browser met een boel mogelijkheden, vanuit security oogpunt is het nooit slim wachtwoorden op te slaan op een systeem dat in verbinding staat met het internet er is op die manier altijd een risico aanwezig dat de wachtwoorden gelekt kunnen worden
20-07-2010, 14:16 door Rene V
Door Predjuh:
Door Bastos: Ik begin er steeds meer over te twijfelen of ik FF blijf gebruiken :(

ach FF is een goeie browser met een boel mogelijkheden, vanuit security oogpunt is het nooit slim wachtwoorden op te slaan op een systeem dat in verbinding staat met het internet er is op die manier altijd een risico aanwezig dat de wachtwoorden gelekt kunnen worden

Precies, dit had ook kunnen voorkomen bij IE of Opera. Het belangrijkste is dat het gepatched wordt.
20-07-2010, 15:13 door Anoniem
Dat autocomplete gaat toch over Internet Explorer, en op gelinkte pagina, is niets te vinden over de FF password manager?
20-07-2010, 15:33 door cyberpunk
Ik zie in het artikel nergens iets staan of dit ook mogelijk is als een Master Pasword en FIPS is ingesteld.

En verder: "Via JavaScript en cross-site scripting"

De NoScript add-on berschermt Fx daar toch tegen, niet?

Ik twijfel er niet aan om Fx (niet "FF" * ) te blijven gebruiken. Als het lek ernstig genoeg is zal een patch wel snel volgen.

* http://www.mozilla.com/en-US/firefox/releases/1.5.html

How do I capitalize Firefox? How do I abbreviate it?

Only the first letter is capitalized (so it's Firefox, not FireFox.) The preferred abbreviation is "Fx" or "fx".
23-07-2010, 14:32 door Anoniem
Alle password manager van de webbrowser zijn over het algemeen niet zo veilig.
Een apart vertrouwd programma (bijv. passwordsafe, keepass) gebruiken is zeker beter.

Er is trouwens een addon genaamt Secure Login voor firefox die ervoor zorgt dat je eerst op een knop moet drukken voordat die gebruikersnamen en wachtwoord velden automatisch invult, dit helpt.
25-09-2010, 19:10 door Dev_Null
De beste plek om passwords te bewaren is tussen je oren :-) en nergens anders
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.