Gå til innhold

Hull oppdaget i Firefox 2.0.0.5

abene

Anbefalte innlegg

Onyx

Onyx

Skrevet
Skrevet (endret)

Man kan bruke NoScript, men denne extensionen blokkerer scripts helt til du selv gir adgang. Bruker Gmail/Yahoo og sistnevnte har en haug med andre tileggsscripts og tilater kun Yahoo.com til å fortsette.

 

Dette er egentlig et dilemma - enten man lagrer passord eller ikke. Ikke minste til hvilke sider det blir lagret til. Personlig skriver jeg alltid passordet inn hver gang jeg sjekker mail da det er meget viktige dokumenter jeg har lagret.

Endret av Onyx
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Anderssb

Anderssb

Skrevet
Skrevet
Opera har faktisk samme "hullet". Det vil bare kreve noen ekstra kodelinjer i JSet siden Opera sender inn skjemaet auitomatisk når tryllestav-tingen har fylt inn brukernavn og passord.

 

EDIT: Ved nærmere ettertanke, dette gjelder faktisk alle nettlesere i hele verden fordi alle krever at man på en eller annen måte må fylle ut brukernavn og passord i boksene, og så lenge XSS-svakheten er der er det ingenting som hindrer et ondsinnet JS i å stjele dataene. Det er med andre ord ikke et hull i nettleserne, men heller et resultat av eventuelle XSS-svakheter på et nettsted med innlogging.

9133986[/snapback]

 

Interessant informasjon. :)

 

Siden det tydeligvis ikke kun gjelder Firefox, synes jeg artikkelen bør oppdateres med dette, slik at de som ikke leser kommentarene også får det med seg.

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet
Opera har faktisk samme "hullet". Det vil bare kreve noen ekstra kodelinjer i JSet siden Opera sender inn skjemaet auitomatisk når tryllestav-tingen har fylt inn brukernavn og passord.

 

EDIT: Ved nærmere ettertanke, dette gjelder faktisk alle nettlesere i hele verden fordi alle krever at man på en eller annen måte må fylle ut brukernavn og passord i boksene, og så lenge XSS-svakheten er der er det ingenting som hindrer et ondsinnet JS i å stjele dataene. Det er med andre ord ikke et hull i nettleserne, men heller et resultat av eventuelle XSS-svakheter på et nettsted med innlogging.

9133986[/snapback]

 

Interessant informasjon. :)

 

Siden det tydeligvis ikke kun gjelder Firefox, synes jeg artikkelen bør oppdateres med dette, slik at de som ikke leser kommentarene også får det med seg.

9135713[/snapback]

Nå quoter jeg litt unødvendig med vilje, men synes dette var så viktig at det ikke må drukne.

Lenke til kommentar
hemo

hemo

Skrevet
Skrevet

Bruker folk her berre ein nettlesar?

Eg må innrømma at eg brukar Firefox mest med masse fine utvidingar. Det er der eg samlar bokmerke, passord, cookies, skjema-detaljar og historikk/logg.

 

Opera vert brukt på alle sider/tenarar som eg er meir usikker på om eg kan stola på. Opera er også genial på zoom, tekstbasert vising, bla i foto, høgtlesing og mykje anna.

 

Internett Explorer blir brukt på sider som "krev" det, samt for å sjekka sider eg har vert på før som om eg var der for første gong. Eg er kanskje innlogga på ei teneste med Firefox og vil sjekka korleis sida fungerer når ein er utlogga. Då er eit kjapt klikk på IE Tab enkelt og nyttig.

 

Til slutt er eg innom Safari av og til.

 

Det er neppe aktuellt å kutta ut å bruka ein av nettlesarane, men no dytta eg såfall inn NoScripts i Firefox, for å vera på den sikre sida...

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)

hemo:

Jeg bruker hovedsaklig FF, liker alle shortcut muligheter den har samt mozbackup jeg bruker jevnlig.

 

IE brukes på sider som ikke fungerer i FF og som er dårlig programmert. Kan være at jeg blir nødt til å teste Opera igjen, siden det tross alt er Norsk software. Eller er det ikke lenger så?

Endret av Theo343
Lenke til kommentar
qualbeen

qualbeen

Skrevet
Skrevet

@Theo343: Opera er et norsk selskap med hovedontor i Oslo ja. Men dette blir litt off topic i forhold til tråden.

 

Nuja: problemet med dårlig skrevne sider er forøvrig like stort i Opera som med Firefox - heldigvis har IE mistet stor markedsplass, hvilket betyr at utviklere av nettsider nå faktisk må sjekke at sidene deres fungerer! (-:

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet

Selv om artikkelen omhandler FF så gjelder dette problemet forøvrig alle nettlesere, men jeg vurderer faktisk å teste Opera rett og slett fordi den virker å ha blitt mye bedre med årene.

 

Har Opera lignende muligheter som eks. mozbackup gir deg?

Lenke til kommentar
qualbeen

qualbeen

Skrevet
Skrevet (endret)
Selv om artikkelen omhandler FF så gjelder dette problemet forøvrig alle nettlesere,
Tviler sterkt på at dette gjelder alle nettlesere. At FireFox kan utlevere sin passordliste pga en spesiell javascript-kode betyr ikke at f.eks Opera har samme feilen.

 

For å være helt ærlig synes jeg det høres veldig horriblet ut at lokalt lagrete filer skal kunne stjeles bare fordi man bruker "feil" nettleser.

 

Skulle man derimot bli infisert med virus/mal-ware som leter etter passordlista til IE, FF og Opera er det lite man kan gjøre. Men det blir en helt annen problemstilling. JavaScript skal ikke uten videre få tilgang til lokalt lagrede filer. Her er det FF som har gjort en glipp!

 

EDIT: ser at ny info har kommet (jamfør post nedenfor, så jeg får vel ta det til etteretning)

Endret av qualbeen
Lenke til kommentar
Quai

Quai

Skrevet
Skrevet
Opera har faktisk samme "hullet". Det vil bare kreve noen ekstra kodelinjer i JSet siden Opera sender inn skjemaet auitomatisk når tryllestav-tingen har fylt inn brukernavn og passord.

 

EDIT: Ved nærmere ettertanke, dette gjelder faktisk alle nettlesere i hele verden fordi alle krever at man på en eller annen måte må fylle ut brukernavn og passord i boksene, og så lenge XSS-svakheten er der er det ingenting som hindrer et ondsinnet JS i å stjele dataene. Det er med andre ord ikke et hull i nettleserne, men heller et resultat av eventuelle XSS-svakheter på et nettsted med innlogging.

9133986[/snapback]

 

Interessant informasjon. :)

 

Siden det tydeligvis ikke kun gjelder Firefox, synes jeg artikkelen bør oppdateres med dette, slik at de som ikke leser kommentarene også får det med seg.

9135713[/snapback]

 

Det blir litt feil å kalle dette en bug som Loomy sier. Dette er ikke en feil i implementeringen av standarder, men heller en svakhet i måten javascript og form-element er definert.

 

Man kan som han sier binde en funksjon på hendelsen "onsubmit" som da vil gi javascript-snutten tilgang på både brukernavn og passord. Men, dette KREVER at webstedet i seg selv har et sikkerhetshull som gir "hackere" mulighet til å legge til ondsindet kode.

 

Forskjellen på Firefox og Opera i denne sammenhengen er at firefox fyller inn brukernavn og passord når siden vises, noe som gjør at man kan stjele informasjonen uten at brukeren trenger å gjøre noe aktivt. Opera krever nemmelig at brukeren enten trykker Ctrl+Enter eller på wanden.

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)
Selv om artikkelen omhandler FF så gjelder dette problemet forøvrig alle nettlesere,
Tviler sterkt på at dette gjelder alle nettlesere. At FireFox kan utlevere sin passordliste pga en spesiell javascript-kode betyr ikke at f.eks Opera har samme feilen.

 

For å være helt ærlig synes jeg det høres veldig horriblet ut at lokalt lagrete filer skal kunne stjeles bare fordi man bruker "feil" nettleser.

 

Skulle man derimot bli infisert med virus/mal-ware som leter etter passordlista til IE, FF og Opera er det lite man kan gjøre. Men det blir en helt annen problemstilling. JavaScript skal ikke uten videre få tilgang til lokalt lagrede filer. Her er det FF som har gjort en glipp!

 

EDIT: ser at ny info har kommet (jamfør post nedenfor, så jeg får vel ta det til etteretning)

9139565[/snapback]

 

Lest hele tråden og _alle_ 2 sidene?

 

 

Opera har faktisk samme "hullet". Det vil bare kreve noen ekstra kodelinjer i JSet siden Opera sender inn skjemaet auitomatisk når tryllestav-tingen har fylt inn brukernavn og passord.

 

 

EDIT: Ved nærmere ettertanke, dette gjelder faktisk alle nettlesere i hele verden fordi alle krever at man på en eller annen måte må fylle ut brukernavn og passord i boksene, og så lenge XSS-svakheten er der er det ingenting som hindrer et ondsinnet JS i å stjele dataene. Det er med andre ord ikke et hull i nettleserne, men heller et resultat av eventuelle XSS-svakheter på et nettsted med innlogging.

9133986[/snapback]

Endret av Theo343
Lenke til kommentar
kindings

kindings

Skrevet
Skrevet (endret)
Så dette sikkerhetshullet vil få dere til å migrere til andre nettlesere? Trodde dere Firefox-brukere visste at passordlagring kan lett slås av i Firefox. Og til hvilke sider har dere lagret passordet til?

9133933[/snapback]

Jeg vil ikke migrere ennå, men om firefox ikke greier å holde seg så sikker som før, så er det fristende å velge en mindre populær nettleser.

9134002[/snapback]

Det er vel ikke Firefox som har blitt mindre sikker, men hullene blir oppdaget og publisert. Selv mener jeg at det er brukeren som er det største hullet og at dersom man bruker litt sunn fornuft, skepsis og er forsiktig, så er det nesten hipp som happ hvilken leser man bruker. Dette spesifikke hullet faller etter min mening inn i denne kategorien, dvs man legger ikke igjen viktige passord i nettleseren.

Endret av kindings
Lenke til kommentar
kindings

kindings

Skrevet
Skrevet
Det er vel ikke Firefox som har blitt mindre sikker, men hullene blir oppdaget og publisert.

9145991[/snapback]

Og ergo blir firefox mindre sikker.

9146327[/snapback]

Ikke helt, poenget er at disse hullene nok har vært der hele tiden og at de verste hackerne sikkert har vært i stand til å utnytte dem ganske lenge. At det blir oppdaget, publisert og deretter rettet vil jo i teorien gjøre leseren sikrere, dvs dersom man installerer patch og patchen kommer fort.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...