Katalin
3 °C
9 °C

Lenyúlhatók a jelszavak a Firefoxból

2010.07.21. 10:58
Távolról ellophatók a böngészőben lementett jelszavak, ezért érdemes mindet azonnal kitörölni, amíg a Firefox fejlesztői nem javítják a hibát.

Július 24-én elkezdődik az Egyesült Államokban az egyik legnevesebb nemzetközi hekkerkonferencia, a Black Hat, és az ilyenkor szokásos módon már hetek óta olvashatóak a beharangozók, melyek a legizgalmasabb előadásokra, bemutatókra kívánják felhívni a figyelmet.

A Firefox népszerűsége miatt az egyik legérdekesebbnek Jeremiah Grossman prezentációja ígérkezik, aki azt fogja bizonyítani, hogy a JavaScriptet felhasználva milyen könnyű kinyerni a Firefox felhasználóitól a tárolt jelszavakat. A szaktekintélynek számító Grossman mindezt megfejeli azzal, hogy a személyes adatok megszerzésének módját demonstrálja az Internet Explorer 6-os és 7-es verziója esetében is.

A beharangozott demóban a WhiteHat Security alapítója és technológiai vezetője, a Web Application Securtity Consortium (WASC) társalapítója azt kívánja megmutatni, hogy a Firefox jelszókezelőjében tárolt adatok úgynevezett cross-site-scripting (XSS-) támadásokkal megszerezhetőek, mindössze az kell hozzá, hogy a támadó egy vírust tartalmazó weboldalra csábítsa el a felhasználót. Az IE említett verzióinak esetében Grossman azt fogja bemutatni, hogy az egyébként igen hasznos automatikus kiegészítés miképp használható arra, hogy egy támadó megszerezze a begépelt személyes adatokat. E sebezhetőségek egyike sem új már, ám jelenleg is működik mindegyik.

Habár még senki nem látta a bemutatót, a networkworld.com már ad hasznos tanácsokat a védekezéshez. A legegyszerűbb, ha a felhasználó törli a tárolt jelszavakat a jelszókezelőből, majd nem is tölt fel ide többet (vagyis nem jegyezteti meg a böngészővel őket). Ha mégis szeretnénk használni ezt a kényelmi funkciót, akkor javasolnak egy kiegészítőt (LastPass Password Manager), ám ez a tapasztalatok szerint (főként a Windows 7 rendszeren) gyakran összeomlasztja a Firefox 3.6.6-ot. Ha egyik megoldás sem szimpatikus, akkor érdemes – legalábbis a sebezhetőség javításáig – a böngészőn kívül tárolni a jelszavakat, például egy olyan programmal, mint a KeePass – ehhez azonban a Wine program használata szükséges (linuxosoknak a KeePassX ajánlott a lap szerint).