|
|
 |
|
 |
|
от Златко Попов(24-11-2006)
 "Дупка" във Firefox води до кражба на пароли
Вграденият в браузъра Firefox мениджър на пароли може да помогне на злонамерен сайт да "открадне" въпросните пароли. Откритата уязвимост е известна на Mozilla преди повече от 10 дни, но все още няма "кръпка" за нея.
По принцип мениджърът на пароли в най-популярния браузър с отворен код помага на потребителя, като прави влизането в даден сайт доста по–бързо, но ето че носи и рискове за сигурността.
"Дупката" във Firefox позволява на зловредна страница да попълни автоматично формуляр, като се представя за абсолютно различен, легален сайт. Firefox Password Manager автоматично ще въведе паролата и потребителското име. След попълването, информацията се изпраща автоматично на хакерския компютър, без потребителя да е наясно за това.
Специалистите предупреждават потребителите, които използват както Firefox, така и Internet Explorer, да внимават, тъй като тяхната информация може да бъде открадната по описания начин при посещаване на блогове и форуми. За момента хакерите ще имат по-голям успех при атака на потребители, използващи Firefox, защото паролите и потребителското име се попълват автоматично.
При отсъствието все още на официално пуснат пач, потребителите на Firefox могат да се предпазят от заплахата, като изключат опцията "Remember passwords for sites" в настройките на браузъра.
Източник: technews.bg
<< Microsoft пуска официална документация | Съюзът Microsoft-Novell вече е под въпрос >>
|
|
 |
|
 |
нещо ново?
От: a
На: 24-11-2006@9:07 GMT+2
Оценка: 1/Неутраленgoin' phishing, както се пее в една песен
[Отговори на този коментар]
gbs ?
От: dope_hat <dopehat< at >jambolnet __точка__ com>
На: 24-11-2006@12:14 GMT+2
Оценка: 1/Неутраленhttp://www.google.com/tools/firefox/bro...
?
много хубав tool :)
Редактиран на: 24-11-2006@12:14
[Отговори на този коментар]
Към: gbs ?
От: dino <asa (a) spnet __точка__ net>
На: 24-11-2006@15:42 GMT+2
Оценка: 1/НеутраленСтига бе, за толкова не можах да се науча да вярвам на бръузъра че ще ми пази паролите, ти искаш в Google да повярвам...
Макар че във това все пак има и капка здрав смисъл - ако всичките ми пароли са Public Domain няма да ми се налага да се страхувам, че някой ще ги открадне...
Редактиран на: 24-11-2006@20:50
[Отговори на този коментар]
Хакерите??! :|
От: fla
На: 24-11-2006@18:11 GMT+2
Оценка: 1/Неутрален
---------------
Специалистите предупреждават потребителите, които използват както Firefox, така и Internet Explorer, да внимават, тъй като тяхната информация може да бъде открадната по описания начин при посещаване на блогове и форуми. За момента хакерите ще имат по-голям успех при атака на потребители, използващи Firefox, защото паролите и потребителското име се попълват автоматично.
-------------
- Кои са тия "хакери", дето "крадат" пароли? Доста по журналистически звучи :|
Тъй като предполатам авторът разбира неточността за която говоря, линкът ще го пейстна за останалите читатели с неяснота по този въпрос :)
http://yovko.net/download/mirrors/linux...
[Отговори на този коментар]
Хакери??! :|
От: fla
На: 24-11-2006@18:12 GMT+2
Оценка: 1/Неутрален
---------------
Специалистите предупреждават потребителите, които използват както Firefox, така и Internet Explorer, да внимават, тъй като тяхната информация може да бъде открадната по описания начин при посещаване на блогове и форуми. За момента хакерите ще имат по-голям успех при атака на потребители, използващи Firefox, защото паролите и потребителското име се попълват автоматично.
-------------
- Кои са тия "хакери", дето "крадат" пароли? Доста по журналистически звучи :|
Тъй като предполатам авторът разбира неточността за която говоря, линкът ще го пейстна за останалите читатели с неяснота по този въпрос :)
http://yovko.net/download/mirrors/linux...
[Отговори на този коментар]
Добре де
От: Arch <arhanchel__at__gbg< dot >bg>
На: 24-11-2006@18:24 GMT+2
Оценка: 1/НеутраленВсе пак кой себе уважаващ се потребител пази чрез такива неща нещо по сериозно от пощата в abv-то или акаунта на торентите
най-много да пази паролата си за linux-bg.org :-P
Та следователно бъга не е чак толкова фатален но все пак трябва да бъде оправен :)
а Колкото до Google :
ами аз по добре да си купя едно тесте лепещи се лепенки и да почна да си ги лепя по монитора :)
[Отговори на този коментар]
дупката
От: Петър
На: 24-11-2006@20:30 GMT+2
Оценка: 1/НеутраленДупката е в мозъците на тъпите американци, а не в браузъра, за идиоти няма защита. Всеки достатъчно интелигентен човек може да се светне какво се случва пред очите му ако има достатъчно мозък.
[Отговори на този коментар]
Към: дупката. Кой какво е създал?
От: Прогнила западна мушмула.
На: 25-11-2006@14:01 GMT+2
Оценка: 1/НеутраленКогато "тъпите американци" са създавали 2/3 от
информационните/компютърните технологии, твоите
предшественици са се търкаляли с другия добитък
и резултата е налице какво са създали.
[Отговори на този коментар]
За предшествениците
От: fla
На: 25-11-2006@21:48 GMT+2
Оценка: 1/Неутрален
-----------
Когато "тъпите американци" са създавали 2/3 от
информационните/компютърните технологии, твоите
предшественици са се търкаляли с другия добитък
и резултата е налице какво са създали.
-----------
- Когато предшествениците на преждепишещия (разбирай също моите и твоите предшественици) са пасли добитък, в Америка е имало единствено истински американци :) (А не сегашните, голяма част от които отговарят наистина на горното определение :})
[Отговори на този коментар]
Към: За предшествениците
От: dino <asa (a) spnet[ точка ]net>
На: 26-11-2006@9:06 GMT+2
Оценка: 1/НеутраленЗа да можеш наистина да говориш за 2/3 трябва да казваш "са финансирали създаването", "са осигурили създаването" или може би "държат правата на".
Малко пресилено е да се казва, че "са създали", защото сред тези, които са работили по развитието на компютрите с софтуера в САШ много малко са американци поне второ поколение (И между другото поне сред програмистите-американци, които не са деца на емигранти в момента най-голям процент са негрите.).
Ако поне малко се замислиш по въпроса ще видиш, че не случайно именно САЩ е родината на разпространителските права (copyright). В общество като тяхното човек, способен да твори или да мисли самостоятелно е по-скоро брак, а не правило. Хора, смятащи за нормално да печелят от създаденото от други обаче са съвсем разбираем масов продукт. За това Copyright законите, поставят на първо място този, който "осигурява създаването" и предвиждат изобилие от начини за наказване на творци, опитващи се да бъдат нещо повече от обслужващ персонал.
Редактиран на: 26-11-2006@9:08
[Отговори на този коментар]
Ебати наглостта
От: vdamiano
На: 26-11-2006@5:33 GMT+2
Оценка: 1/НеутраленНе мога да разбера дали тези, които пишат подобни статии са идиоти или се опитват нас да ни направят на идиоти.
Ми нали точно това е основната идея на отворения код - всички да видят какво точно се прави и как точно става. И всички да могат да намират несъвършенствия и "дупки" и да ги оправят и така системата да се развива напред.
Но идват някакви псевдо "специалисти" дето са прочели 5 книги по програмиране, но не са написали 5 реда код и започват да анализират кода дето им е предоставен на тепсия, че и с документация и коментарии. И откриват разни "дупки" (нормално за всеки код). Но забележете: вместо та ги оправят или поне да предложат вариант(и) за оправянето им (щото това очаква Отворения код от тях, за това са го отворили кода) те започват да дрискат наляво и надясно какво голямо откритие са направили и колко е лош кода.
Значи достатъчно добри специалисти са да открият проблема, ама не могат да го оправят, могат само да говорят. Ми това е отворен код - оправи го като си такъв "специалист".
Нека да видим алтернативата - Майкрософт. Те имат поне 100 сериозни дупки, от които 10 критични, които стоят на опашка с месеци и не са оправени. И всички те са открити СЛЕД КАТО СА СЕ СЛУЧИЛИ, не ПРЕДИ ТОВА както е в случая. Не стига това ами компанията официално е обявила, че никога няма да оправи някои от тях, защото са заети с други, по-важни неща, като например да си усъвършенстват DRM-то. Че хората като си купят продукта им да могат да правят колкото се може по-малко неща с него.
Ми това си е дефиниция за наглост.
[Отговори на този коментар]
Смея да се съглася :}
От: fla
На: 26-11-2006@6:15 GMT+2
Оценка: 1/Неутрален
Ами така е, но нали и M$ трябва да извличат дивиденти отнякъде ;-D
Иначе: "При отсъствието все още на официално пуснат пач, потребителите на Firefox могат да се предпазят от заплахата, като изключат опцията "Remember passwords for sites" в настройките на браузъра" - да, поне има сигурно решение, докато излезе официален пач. Докато в InternetExploDer така и никога няма да има не пач, дори подобно решение, както е писал и vdamiano :)
[Отговори на този коментар]
Към: Ебати наглостта
От: dino <asa__at__spnet __точка__ net>
На: 26-11-2006@9:12 GMT+2
Оценка: 1/НеутраленАбсолютно правилно!!! Надявам се че вече си си запомнил всичките пароли в Password Manager-а.
Напомняш ми за един графит, който видях в зоологическата градина: "Не плашете щраусите - подът е бетонен!"...
Редактиран на: 26-11-2006@9:13
[Отговори на този коментар]
към vdamiano
От: Mpetrov
На: 26-11-2006@6:34 GMT+2
Оценка: 1/НеутраленАз съм неутрален. Съгласен съм с известна част на твоето мнение, но има неща с които не бих казал . Това което каза fla бих определил за доста наситено с истинност. vdamiano не бих казал, че някои прочел n брой книги по programming + (5|50|500) реда код може да открие пролука в кода на някои програмър който се е учил цял живот и изписал хиледи^n код. Вероятността "човека с 5-те книги" да намери пролука е 1/n .., освен ако вероятността да спечели в тото е 1/1. Сещаш се, че идва и често срещаната възможност т.е.
Как видимо незаслужилия човек обира овациите/ругатните, а именно теоретичен пример: MS плащат на програмер(или заставят свои такъв) да открие някаква фрапираща грешка във Firefox и да каже, че този "разбирач" я е открил(5-те книги) така става че възниква следния въпрос в полза на MS: Как така някакъв си измислен програмър открива грешки на дългогодишни програмери написали Firefox това значи, че те не са дългогодишни професионалисти в programminga? Това като цяло е неистина. Не всеки е заинтересуван от отвореня код нали, но той рано или късно бива свързан с него +{:>>. Cya
[Отговори на този коментар]
На мен ми пък ми беше от полза
От: lidow
На: 27-11-2006@11:36 GMT+2
Оценка: 1/НеутраленОпределено ме стресна тази новина. Не бях се замисял колко лесно може някой да ми тафне запомнената парола за epay например. Направо ме хвана яд как не съм го осъзнал по-рано. Сега ми се струва чак елементарно да се открадне такава парола. Но пък и нямам и алтернатива. Не мога да помня 50 user/password/site тройки. Не мога да си намеря и читав софтуер за пароли. Пробвах да ги пиша в криптиран файл, много неудобно. А пък и ако сте като мен и ползавате интернет за какво ли не и от къде ли не, то тогава наистина бихте оценили Google Browser Syncer. Все пак те твърдят че е достатъчно защитено. Както се казва, колкото по-сигурно, толкова по-неудобно, а когато го ползваш в ежедневието си, удобството е доста важно нещо. Кога ли система подбна на MS Passport ще стане достатъчно разпостранена, така че една парола да ми е достатъчна за всички услуги дето ползвам?
Зпочвам усилено да търся алтернатива на Password Manager-а на firefox.....(не ми крадете паролите дотогава...:)
[Отговори на този коментар]
Към: На мен ми пък ми беше от полза
От: Петър
На: 27-11-2006@20:13 GMT+2
Оценка: 1/НеутраленИ аз ползвам много пароли, и не са нищо предвидимо, така че най-удобно ми е да ги държа в Password Manager-а на firefox. А начина на открадване, доколкото разбирам позволява открадване само на една парола в един момент, и то ако не внимаваш и натиснеш "login" на фалшив адрес.
Ползването на услугата на Google гарантира че ФБР винаги ще има достъп до информацията там. Не че имам какво толкова да крия, но не ми харесва идеята неканени типове да се ровят в нещата ми.
[Отговори на този коментар]
Към: На мен ми пък ми беше от полза
От: Данаил Начев
На: 29-11-2006@8:05 GMT+2
Оценка: 1/НеутраленАко имаш една парола за всичко на това му се вика Single Point of Failure (поправете ме ако бъркам). Не мисля, че искаш такова нещо.
[Отговори на този коментар]
ARENA ATTACK TOOLLLLSSS...
От: abyda <abyda (a) abyda __точка__ bg>
На: 7-12-2006@15:01 GMT+2
Оценка: 1/НеутраленARENA ATTACK TOOLLLLSSS...
АРЕНА ЩЕ СЕ ПРОПУКА СКОРО АКО ПРОДЪЛЖАВА ТАЗИ ПОЛИТИКА ТАЗИ ПРОГРАМА АТАКУВА САЙТА НА АРЕНА. http://www.savefiles.net/d/bzexckn85xt....
[Отговори на този коментар]
|
|
|
|
|
|
|
|
|
