Kiadja jelszavainkat a Firefox

Egy olyan hibát találtak a Firefox 2 böngészőben, amelyre építve egyszerűen begyűjthetők a felhasználók weboldalakon használt azonosítói és jelszavai. Ehhez egy HTML-ben írt felhasználói tartalmak publikálását lehetővé tévő oldalra van szükség, mint amilyen például a fórumok egy része vagy a MySpace: ha ezen egy adathalász egy megfelelően formázott hamis bejelentkezési oldalt hoz létre, a böngésző jelszókezelője automatikusan megadja a felhasználói nevet és a jelszót. A hibára úgy derült fény, hogy egy MySpace-felhasználó próbálkozott ezzel a trükkel (az időközben eltávolított próbálkozásról és a hibáról részletek itt), amely gyorsan továbbterjedhet blogokon és fórumokon is – figyelmeztetnek a szakértők.

A kérdéses MySpace-oldalt a jelszólopásra játszó user úgy írta meg, hogy az elrejtse a közösségi szájt eredeti tartalmát, és ahelyett egy hamis bejelentkezési oldalt jelenítsen meg. Mivel a rafinált weboldal a MySpace címén jelent meg, a böngésző automatikusan megadta a logininformációkat, és még a tudatosabb felhasználókat is rászedhette. És bár a megadott adatokat egy másik szerverre küldte el az oldal, a böngészők ezt már nem ellenőrzik.

Az Internet Explorer sem, de a Microsoft böngészőjét használókat jóval kevésbé fenyegeti ez a veszély, mivel a szoftver csak akkor tölti ki automatikusan a bejelentkezési űrlapokat, ha azokat pontosan azon a webcímen kérik, ahol először a felhasználó megadta őket. A Firefox azonban az űrlapok URL-azonosságát sem ellenőrzi.

A népszerű nyílt forrású böngésző fejlesztői már dolgoznak a biztonsági rés befoltozásán, de az egyelőre nem került nyilvánosságra, hogy csak a Firefox 2 érintett-e, vagy a korábbi verziók is. IT-biztonsági cégek átmenti megoldásként a „jelszavak megjegyzése” funkció kikapcsolását javasolják.

Azóta történt

Előzmények