Ne használjuk a jelszavak mentését a Firefoxban!

Hamarosan elkezdődik az Egyesült Államokban a talán legnevesebbnek számító nemzetközi hackerkonferencia, a Black Hat, s az ilyenkor szokásos módon már hetek óta olvashatóak a beharangozók, melyek a legizgalmasabb előadásokra, bemutatókra kívánják felhívni a figyelmet.

Hirdetés

A networkworld.com beszámolója szerint a böngésző népszerűsége miatt az egyik legérdekesebbnek Jeremiah Grossman prezentációja ígérkezik, aki azt fogja bizonyítani, hogy a JavaScriptet felhasználva milyen könnyű kinyerni a Firefox felhasználóitól a tárolt jelszavakat. A szaktekintélynek számító Grossman mindezt megfejeli azzal, hogy a személyes adatok megszerzésének módját demonstrálja az Internet Explorer 6-os és 7-es verziója esetében is.

A beharangozott demóban a WhiteHat Security alapítója és technológiai vezetője, a Web Application Securtity Consortium (WASC) társalapítója azt kívánja megmutatni, hogy a Firefox jelszókezelőjében tárolt adatok különféle cross-site-scripting (XSS-) támadásokkal megszerezhetőek, mindössze az kell hozzá, hogy a támadó egy vírust tartalmazó weboldalra csábítsa el a felhasználót. Az IE említett verzióinak esetében Grossman azt fogja bemutatni, hogy az egyébként igen hasznos automatikus kiegészítés miképp használható arra, hogy egy támadó megszerezze a begépelt személyes adatokat (név, nicknév, e-mail cím, lakcím stb.). E sebezhetőségek egyike sem új már, ám jelenleg is „működik” mindegyik.

Habár még senki nem látta a bemutatót, a networkworld.com már ad hasznos tanácsokat a védekezéshez. A legegyszerűbb, ha a felhasználó törli a tárolt jelszavakat a jelszókezelőből, majd nem is tölt fel ide többet (vagyis nem jegyezteti meg a böngészővel őket). Ha mégis szeretnénk használni ezt a kényelmi funkciót, akkor javasolnak egy kiegészítőt (LastPass Password Manager), ám ez a tapasztalatok szerint (főként a Windows 7 rendszeren) gyakran összeomlasztja a Firefox 3.6.6-ot. Ha egyik megoldás sem szimpatikus, akkor érdemes – legalábbis a sebezhetőség javításáig – a böngészőn kívül tárolni a jelszavakat, például egy olyan programmal, mint a KeePass – ehhez azonban a Wine program használata szükséges (linuxosoknak a KeePassX ajánlott a lap szerint).

Hirdetés

Azóta történt

Előzmények