Hull oppdaget i Firefox 2.0.0.5

[abene]

Det er oppdaget er sikkerhetshull i Firefox 2.0.0.5 som gjør at et passord kan stjeles.

Les mer

[The Stig]

Hmpf, jeg som brukte Firefox fordi det ikke skulle eksistere slike kritiske feil. Er på grensen til paranoia, men sletter likegodt passordlisten - tror jeg har vært litt godtroende med tanke på hvor mange og viktige passord jeg har lagret.

[Thorsen]

Liker det ikke, men får håpe det løses fort.

[ASCIWhite]

Et midlertidig tiltak for Firefox-brukere er å slå av Javascript-støtten i nettleseren, eller velge ikke å la Firefox huske passordet.

 

Eller bruke Roboform Genialt program

[Theo343]

Vil noscript etc beskytte mot dette?

[ⅵdar]

Er nok på tide å bytte nettleser til noe som ingen gidder å lete etter hull i igjen.

[qualbeen]

dette her høres jo faktisk litt alvorlig ut! De fleste "sikkerhetshull" jeg hører om ang. IE 7/FF/Opera synes jeg selv høres lite kritiske ut - men hvis det er slik å forstå at hele passordlisten din kan bli sendt ut ved å besøke "feil" side er jo dette meget alvorlig! Men nå har ikke hw.no gått i detaljer om hvordan angrepet mot meg som bruker fungerer, så det kan jo hende det ikke er like ille som det høres ut som?

 

Hvis FF bestemmer seg for å kutte passord-funksjonen helt, så regner jeg med at en del vil ta i bruk IE7 eller Opera, da begge disse klarer å håndtere brukernavn/passord veldig godt!

[FuglFøniks]

Skuffende... *Prøve nok en gang å gå over til Opera*

[Cashmere]

Hvis de fjerner passordlagring fra Firefox må jeg bare gå over til Opera altså! Bruker den lista nesten hver dag, og slå inn passordene manuelt for hver side jeg har lagret er helt uaktuelt for meg...

[josh909]

Hullet er fortsatt ikke rettet, men Mozilla-utviklerne vurderer å fjerne muligheten til å la nettleseren huske passord.

Eh, hvis de fjerner den muligheten så slutter jeg sporenstreks å bruke Firefox. Så enkelt er det.

 

Her er et tips til Mozilla-utviklerne: hva med å bare fikse feilen istedet? Hvordan kan egentlig et JavaScript få tilgang til internt lagrede filer på maskinen? Sounds mucho bado.

[kindings]

Vil tro akkurat denne funksjonaliteten alltid vil innebære en viss risiko, selv lar jeg bare nettleserne(uansett hvilken jeg bruker) huske passord jeg føler er mindre kritiske, f.eks til forumet her. Alle brukernavn/passord som kan koste meg penger eller utnyttes, f.eks email, play.com og liknende blir liggende i hodet mitt.. ikke at det nødvendigvis er en mye bedre plass da, men litt sikrere er det nok Synes forøvrig IT samfunnet er i ferd med å bli ett bruker/passord samfunn, hvor vi må gå rundt å huske kortkoder, kryptiske brukernavn, enda mer kryptiske passord etc. I praksis er det ikke mulig å huske alt, det er rimelig mange steder hvor jeg bare henter nytt passord hver gang jeg logger meg inn

[Torbjørn]

huske-passord funksjonaliteten kommer garantert tilbake som en 3departs utviklet exension hvis den fjernes

[Lock-Aze]

Fjerner de muligheten migrerer jeg til Opera. De får heller rette opp sikkerhetshullet.

[efikkan]

Siden jeg vet at lagring av passord i nettleser er en sikkerhetstrussel, så har jeg aldri brukt det, og vil fraråde det uansett nettleser.

[Nator]

I slike saker er det sunn fornuft som gjelder. Anbefalt praksis er å aldri lagre passord til kritiske nettsteder.

 

Lagrer du aldri passord selv til ufarlige nettsider er du bare overparanoid.

[NevroMance]

Ifølge Gavin Sharp fra Mozilla skal det riktignok kun være mulig å stjele et passord på denne måten dersom en angriper legger ut en skadelig kode på samme serveren passordet brukes mot.

 

Hvis jeg forstår dette riktig er det ikke veldig farlig. Hvis en ser bort fra hackere så er det liten sannsynlighet for at noen legger inn en sånn skadelig kode, med tanke på at folkene som har tilgang til kildekoden trolig ikke har noen store problemer med å skaffe seg passordet ditt uten at du har lagret det i firefox uansett.

[Loomy]

Det er ikke mulig å hente alle passordene i listen, så det er ikke så ille som det høres ut som. Hullet går ut på at Firefox fyller inn brukernavn og passord i login-boksene automatisk, som deretter blir avlest av et javascript. Det er mao. ingen økt risiko med mindre nettsiden du logger inn på inneholder XSS-svakheter som gjør at andre brukere kan legge inn javascript som kjøres på login-siden.

[Onyx]

Er nok på tide å bytte nettleser til noe som ingen gidder å lete etter hull i igjen.

Skuffende... *Prøve nok en gang å gå over til Opera*

Så dette sikkerhetshullet vil få dere til å migrere til andre nettlesere? Trodde dere Firefox-brukere visste at passordlagring kan lett slås av i Firefox. Og til hvilke sider har dere lagret passordet til?

 

Transistorbass: Stjeler nettopp via Java.

[Loomy]

Opera har faktisk samme "hullet". Det vil bare kreve noen ekstra kodelinjer i JSet siden Opera sender inn skjemaet auitomatisk når tryllestav-tingen har fylt inn brukernavn og passord.

 

 

EDIT: Ved nærmere ettertanke, dette gjelder faktisk alle nettlesere i hele verden fordi alle krever at man på en eller annen måte må fylle ut brukernavn og passord i boksene, og så lenge XSS-svakheten er der er det ingenting som hindrer et ondsinnet JS i å stjele dataene. Det er med andre ord ikke et hull i nettleserne, men heller et resultat av eventuelle XSS-svakheter på et nettsted med innlogging.

Endret 24. juli 2007 av Loomy

[ⅵdar]

Så dette sikkerhetshullet vil få dere til å migrere til andre nettlesere? Trodde dere Firefox-brukere visste at passordlagring kan lett slås av i Firefox. Og til hvilke sider har dere lagret passordet til?

9133933[/snapback]

Jeg vil ikke migrere ennå, men om firefox ikke greier å holde seg så sikker som før, så er det fristende å velge en mindre populær nettleser.