image

Nieuwe Firefox lekt nog steeds wachtwoorden

vrijdag 22 december 2006, 10:03 door Redactie, 13 reacties

Eind november werd bekend dat opgeslagen wachtwoorden en gebruikersnamen via een lek in Firefox 2 gestolen kunnen worden. Het probleem wordt veroorzaakt doordat Mozilla's browser automatisch de gegevens van webformulieren invult als hier door de pagina om gevraagd wordt. Via cross-site scripting zou een aanvaller op een legitieme website een webformulier kunnen plaatsen en zo de vertrouwelijke informatie stelen.

Het Reverse Cross-Site Request lek blijkt echter in de nieuwe Firefox update van woensdag, versie 2.0.0.1, nog steeds niet verholpen te zijn. Eerder liet Mozilla nog weten dat het inderdaad om een bug ging die men in versie 2.0.0.1 of 2.0.0.2 zou verhelpen. Naast Firefox 2 zijn ook versies 1.5.0.8 en 1.5.0.9 kwetsbaar.

Ook Internet Explorer is gevoelig voor Reverse Cross-Site Requests, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. (SecuriTeam)

Reacties (13)
22-12-2006, 11:00 door Anoniem
Je kan op een inlogpagina een tweede dummy inlognaam
invoeren. Dan weet Firefox niet meer welke van de inlognamen
gebruikt moeten worden en geeft de mogelijkheid om een keuze
te maken. Het zal dan niet meer ongevraagd een naam (en
wachtwoord) invullen.
22-12-2006, 11:49 door Anoniem
Je kan onder privacy-instellingen dit soort dingen gewoon uitzetten, in FF
en IE en vast ook in Opera.
Dat betekent dat je het zelf moet onthouden en wat meer tikwerk.
22-12-2006, 11:58 door Anoniem
Je hoeft dat niet te gebruiken!, er is ook gewoon een optie
om het uit te zetten ;)
zo ie zo wil ik niet dat mijn wachtwoorden worden
opgeslagen. Ik doe liever wat meer moeite zodat ik weet dat
het goed gaat...
22-12-2006, 13:05 door capricornus
Zo doe ik het ook. Maar sinds het lek bestaat zet ik de functie liever af. Get
control! begint op dit pietluttige niveau.
22-12-2006, 13:08 door Anoniem
zo zie je maar weer firefox is ook niet alles. Zowel IE als firefox browsers
hebben problemen
22-12-2006, 14:05 door lievenme
Door Capricornus
Maar sinds het lek bestaat zet ik de functie liever af.
Hoe doe je dat dan?
extra/opties/beveiliging/wachtwoorden/wachtwoord voor sites
onthouden NIET aanvinken, verhindert het automatisch aanloggen niet. wat dan wel?
22-12-2006, 14:37 door Anoniem
FireFox even negeren.
23-12-2006, 00:37 door Anoniem
Door lievenme
Door Capricornus
Maar sinds het lek bestaat zet ik de functie liever af.
Hoe doe je dat dan?
extra/opties/beveiliging/wachtwoorden/wachtwoord voor sites
onthouden NIET aanvinken, verhindert het automatisch
aanloggen niet. wat dan wel?

Gewoon NIET aanvinken waneer FF vraagt om de tekst / WW voor
je op te slaan en het probleem is opgelost.
FF is heel goed te configureren die bij risicovolle
gebruiker interactie een vraag / waarschuwing genereert.

Al zou je denken dat lezers / gebruikers van Security.nl dit
wel hebben begrepen met al het nieuws over de gevaren van
het automatisch opslaan van WW en andere data.
23-12-2006, 20:08 door Anoniem
Door Beukenoot
FireFox even negeren.

zinloos, of je moet het leuk vinden elke week een andere
browser te gebruiken.
24-12-2006, 14:54 door lievenme
Door Capricornus
Maar sinds het lek bestaat zet ik de functie liever af.
wschl trap ik een open deur in, maar je kan via
"extra/opties/beveiliging/wachtwoorden tonen/alle
verwijderen" het probleem uit de wereld helpen, denk ik.
24-12-2006, 16:01 door Anoniem
Je moet noscript extensie gebruiken, dan ben je van al het
gedonder af
24-12-2006, 16:24 door Anoniem
Ja je kan even FireFox even negeren,als je dat wil.
Dit schreef ik omdat je gewoon kiezen kan. IE of FF.
Maar omdat ik zelf veel met FF bezig ben,had ik het vinkje al weggehaald
na installatie. Het is nu eenmaal verweven met Google. En als je blijft
zoeken kom je alles te weten.En Toolbars van allerlei afkomst,laat ik
nooit toe,dus weg met het vinkje.Maar helemaal waterdicht zal het allemaal
wel niet wezen.Zie maar naar het bericht dat Google via camera"s
van een gemeente gewoon konden registreren wat er gebeurde.
27-12-2006, 12:03 door Anoniem
Onhandig maar wel veiliger, is je privé-dingen op internet te doen met een
ander account dan de overige dingen.
Je kan je browser ook als andere gebruiker laten draaien, zelfs onder
Windoze ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.