Firefox lek laat websites wachtwoorden stelen
Een beveiligingslek in Firefox 2.0.0.5 en Apple Safari zorgt ervoor dat kwaadaardige websites opgeslagen wachtwoorden en gebruikersnamen kunnen stelen. De wachtwoord manager bewaart automatisch logingegevens en plaats die informatie automatisch in de invulvelden als de gebruiker de volgende keer dezelfde website bezoekt. Dit gebeurt niet alleen op de pagina waar het wachtwoord is bewaard, maar op alle andere pagina's op de server die een soortgelijk formulier of invulvelden bevatten.
Het probleem doet zich vooral voor bij websites waar gebruikers hun eigen pagina's kunnen maken, zoals sociale netwerksites. Een aanvaller kan dan de invulvelden emuleren, en zo de informatie naar zijn eigen server laten sturen. Gebruikers wordt dan ook aangeraden om geen wachtwoorden en andere vertrouwelijke informatie op websites in te voeren waar gebruikers hun eigen pagina's met scripts kunnen plaatsen. Markus Bucher die de kwetsbaarheid ontdekte, heeft ook een demonstratie online gezet.
Sommige beveiligingsonderzoekers vinden het niet echt een probleem, omdat als je JavaScript op een server kan plaatsen, er andere mogelijkheden zijn om een wachtwoord te stelen.
in te stellen en het bewaren van gegevens, cookies en wachtwoorden af te
vinken.
capricornus
Sommige beveiligingsonderzoekers vinden het niet echt een
probleem, omdat als je JavaScript op een server kan
plaatsen, er andere mogelijkheden zijn om een wachtwoord te
stelen.
--
Nou.. die sommige onderzoekers moeten dus eens wakker
worden. Maak het GMail inlogformulier na en laat deze na
bijv 1 seconde via AJAX naar de server sturen. Niemand die
het merkt. Dit moeten ze alleen invullen als je op
https://www.gmail.com zit vind ik, dus mag van mij best wel
eens opgelost worden.
eens willen weten hoe ze dit dan zonder enige interactie van de gebruiker
willen doen. Het verkrijgen van het plain text password welteverstaan.
Dit is echt een smerige bug die zo snel mogelijk opgelost moet worden.
De volgende link, buit het lek beter uit, echter voordat de
code wordt uitgevoerd, wordt de gebruiker wel gewaarschuwd
onder FF 2.0.0.5 dat er "gevaarlijke" code wordt uitgevoerd
en moet je bevestigen dat je de code daadwerkelijk wilt
laten uitvoeren.
http://www.0x000000.com/hacks/hello.html
Het klopt dus dat er een eng lek is, dat gepatcht moet
worden. Echter dat al je wachtwoorden, zo maar voor het
oprapen "op straat" liggen, is niet juist.
Grappig detail: onder Konqueror kreeg ik ook de tweede voorbeeld code niet aan de praat, hoewel Java en Javascript waren ingeschakeld. Effe surfen met Konquerror dan maar, totdat het lek gepatcht is :-)
De test die in het artikel wordt genoemd, ging bij mij mis.
De volgende link, buit het lek beter uit, echter voordat de
code wordt uitgevoerd, wordt de gebruiker wel gewaarschuwd
onder FF 2.0.0.5 dat er "gevaarlijke" code wordt uitgevoerd
en moet je bevestigen dat je de code daadwerkelijk wilt
laten uitvoeren.
http://www.0x000000.com/hacks/hello.html
Het klopt dus dat er een eng lek is, dat gepatcht moet
worden. Echter dat al je wachtwoorden, zo maar voor het
oprapen "op straat" liggen, is niet juist.
Grappig detail: onder Konqueror kreeg ik ook de tweede voorbeeld code
niet aan de praat, hoewel Java en Javascript waren ingeschakeld. Effe
surfen met Konquerror dan maar, totdat het lek gepatcht is :-)
Dit heeft helemaal niets met elkaar te maken. Dat het mis ging heeft
waarschijnlijk iets te maken met het feit dat je de vulnerability niet snapt.
Het probleem zit hem in de wachtwoord manager die deze automatisch
invult bij een login form. Een aanvaller kan, indien deze gebruik kan maken
van javascript en html (meestal het geval op profielensites), een login form
aanmaken en middels document.formnaam.inputnaam.value de waardes
plain tekst opvragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.