Firefox подходит для кражи паролей
Уязвимость связана с работой менеджера паролей Firefox. На запрос, полученный от одного сервера, конфиденциальные данные могут быть отправлены другому, при этом программа не осуществляет необходимой проверки. Замыслившим кражу необходимо разместить на сайте HTML-форму, которая будет отправлять данные куда следует. Сам же пользователь Firefox даже не догадается, что поделился собственным логином-паролем со злоумышленниками. Прекрасные условия для атаки созданы на многочисленных блоггинг-сервисах, форумах и сайтах социальных сетей.
Эта «дыра» была использована в конце октября на сайте MySpace.com. Некий пользователь зарегистрировался в сети под именем login_home_index_html и разместил на своей страничке «форму-приманку», отправлявшую конфиденциальную информацию на другой сервер. Поклонники Firefox, посетившие эту страницу с помощью любимой программы, вполне могли «клюнуть» на этот трюк. Браузер честно проверяет, запрашивается ли информация с MySpace.com, однако почему-то совершенно «забывает» посмотреть, куда отправляются данные.
Разработчики Firefox признали эту уязвимость критически опасной, тем не менее, быстрых способов ее устранения предложить не смогли. Пользователям на всякий случай советуют отключить функцию автоматического сохранения паролей для сайтов.
«С программистской точки зрения, эта ошибка напоминает опечатку, - считает Роберт Чапин (Robert Chapin), президент компании Chapin Information Services. Между тем, в этом очевидном аспекте безопасный Firefox остался позади массового браузера от Microsoft. Internet Explorer, как и его конкурент, также не проверяет идентичность инициатора запроса и получателя данных, однако он оказывается более внимательным при анализе источника заполняемой формы.
Вряд ли эта, пусть даже и критическая уязвимость отпугнет большинство пользователей альтернативного браузера. Число приверженцев Firefox, некогда измерявшееся десятыми долями процента, во многих странах составляет уже несколько десятков процентов. Однако это, пожалуй, еще одна иллюстрация того, насколько относительны утверждения о безопасности отдельных программных продуктов.
- 15.01.2007 в 16:33
- 2 голоса
- одобрить
- утопить
- 0 комментариев
на своём сайте!