Firefox 2.0 lekt wachtwoorden
Een nieuw ontdekt beveiligingslek in Firefox 2.0 zorgt ervoor dat aanvallers opgelagen wachtwoorden kunnen stelen zonder dat een gebruiker dit door heeft. Het probleem wordt veroorzaakt door een lek in de Firefox Password Manager die misbruikt kan worden om gebruikersnamen en wachtwoorden naar een aanvaller te sturen.
Volgens de ontdekkers gaat het om een "Reverse Cross-Site Request" lek, waarbij aanvallers webformulieren op legitieme websites plaatsen. Firefox vult automatisch opgeslagen gebruikersnamen en wachtwoorden in dit soort formulieren. Het probleem is dat de bestemming van de ingevulde gegevens niet gecontroleerd wordt voordat de gebruiker die submit. Daarnaast kan een aanvaller een webformulier voor het zicht verbergen. Firefox vult dan automatisch gebruikersnaam en wachtwoord in. Als de gebruiker dan ook nog op een onzichtbare "image link" klikt, worden de gegevens verstuurd.
Mozilla heeft bevestigd dat het om een bug gaat, en zou al aan een oplossing werken in versie 2.0.0.1 of 2.0.0.2. Ook Internet Explorer zou kwetsbaar zijn, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. Meer informatie is te vinden in deze advisory waarin ook een demonstratie is te vinden.
je weet tenslotte nooit welke fouten er in de toekomst (nu dus) gevonden
worden. Het betekent alleen wat meer klopwerk, zo nu en dan.
Gebruiksgemak v.s. veiligheid, een keuze die je maakt ...
Firefox en SeaMonkey niet te gebruiken en als het kan,
eventueel te legen.
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!
Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!
Dan is je wachtwoord (meestal versluiteld of gehashed) in een cookie
opgeslagen. Als je vaak je cookie's leeg schopt dan komt dit voor.
Vooral als ik bezig was een berichtje in te typen.(zie bericht hier boven)
En laat ik nu al mijn persoonlijke gegevens ingetypt hebben
om op een Forum geregistreert te staan. Ineens Foetsie.
Bij IE lukte het wel,maar ik zie tijdens mijn sessies dat ,A het beeld even
ietsjes beweegt,en B weer uitgelogd.
Voorlopig zit FF in de Prullebak. Weet iemand iets veiligers?
forum-site, en is bovendien meer een interface probleem dan
een security hole.
Dat FF wachtwoorden lekt is wel een grote fout, maar dat is
'maar' een bug, de 'show passwords' optie vind ik echter
belachelijk.
Ik kan er met mijn hoofd niet bij dat je gewoon de
opgeslagen wachtwoorden op kan vragen. Welk nut heeft dat
nou, behalve als je een wachtwoord van iemand anders wil weten.
Overigens spel je geregistreerd met een d, en prullenbak met
een n.
onterecht blijkt en afgestraft wordt.
dat neemt niet weg dat ik een aanhanger blijf van FF. ik
maak de wachtwoordenlijst wel ff leeg :o)
Wel een typefout gemaakt in de haast. (druk)
En onder Anoniem zitten soms bekenden. :o)
Mocht ik nou even niet reageren,ik vrees dat ik verhuiswagen moet vullen.
En wel meer van die dingen.
Wie er goed kan behangen is welkom.
Even de groetjes, al weet ik altijd wel een PC te staan.
Dat klinkt eerder als een fout aan de kant van de
forum-site(...)
toepassingen waar derden code kunnen plaatsen c.q. injecteren.
Neem bijvoorbeeld HTML-email en webmail.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.