picture by jasoon | cc-license
hier gehts ab sofort weiter
22 November 2006
/**
firefox passwort manager problem
**/
so wie es aussieht gibt es eine neue moeglichkeit passwoerter zu phishen. schuld daran ist der passwort-manager von firefox. das problem ist folgendes:
"...merkt sich der Passwort-Manager der Mozilla-Foundation nur, zu welcher Domain diese Login-Daten gehören. Er merkt sich aber nicht, aus welchem Unterverzeichnis und welcher HTML-Datei das Formular stammte. Zudem prüft Firefox nicht, an welche Adresse die automatisch eingetragenen Daten verschickt werden.
So ist es beispielsweise möglich, in einen Auftritt auf MySpace.com ein eigenes Login-Formular zu platzieren, in das Firefox den Namen und das Passwort eines MySpace-Besuchers selbstständig einträgt. Zwar ist zum Abschicken des Formulars ein Klick auf den Submit-Button durch das Opfer erforderlich, das lässt sich aber so geschickt tarnen, dass der Anwender gar nicht merkt, dass er ein Formular versendet..."
weiterlesen
ich denke mal wer auf nummer sicher gehen moechte, sollte voruebergehend den firefox passwort manager deaktivieren. zumindest so lange bis das problem gefixt ist.
"...merkt sich der Passwort-Manager der Mozilla-Foundation nur, zu welcher Domain diese Login-Daten gehören. Er merkt sich aber nicht, aus welchem Unterverzeichnis und welcher HTML-Datei das Formular stammte. Zudem prüft Firefox nicht, an welche Adresse die automatisch eingetragenen Daten verschickt werden.
So ist es beispielsweise möglich, in einen Auftritt auf MySpace.com ein eigenes Login-Formular zu platzieren, in das Firefox den Namen und das Passwort eines MySpace-Besuchers selbstständig einträgt. Zwar ist zum Abschicken des Formulars ein Klick auf den Submit-Button durch das Opfer erforderlich, das lässt sich aber so geschickt tarnen, dass der Anwender gar nicht merkt, dass er ein Formular versendet..."
weiterlesen
ich denke mal wer auf nummer sicher gehen moechte, sollte voruebergehend den firefox passwort manager deaktivieren. zumindest so lange bis das problem gefixt ist.
Labels: firefox/thunderbird, sicherheit
¶ 18:39/
