Commenti a: Vulnerabilità delle password in Firefox 2.0.0.5

Di: mario

mario — Thu, 26 Jul 2007 15:10:15 +0000

C’è una cosa da notare. Il bug non mette in pericolo TUTTE le password memorizzate, ma solo quella legata al dominio della pagina in cui c’è il codice malevolo.

In pratica se siete abbonati a pippo.com, avete memorizzato la password e visitate una pagina di un utente, per esempio pippo.com/utentone, oppure una pagina con un commento o un articolo scritto da un utente, se pippo.com consente di memorizzare codice o commenti o articoli contenenti script, se quell’utente inserisce codice malevolo e se voi avete gli script attivi… vi fregano la password di pippo.com.

Si tratta comunque di un buco grave, ma non tanto quanto questi annunci hanno fatto percepire nella gente normale… come ho segnalato sul blog.
Insomma non è il caso di correre a disinstallare firefox

In pratica per stare sicuri basta NON memorizzare le password per tutti quei domini che consentono agli utenti di predisporre pagine, commenti, stringhe, in cui sia possibile inserire codice script. Magari mantenendo per default attivo un plugin tipo noscript….

Di: stefigno

stefigno — Tue, 24 Jul 2007 17:02:39 +0000

, menomale …..fiuuuu……

Di: Davide Salerno

Davide Salerno — Tue, 24 Jul 2007 16:42:05 +0000

Ok ho scoperto perchè a me non funziona e chiedo venia a tutti: per sicurezza avevo disattivato l’opzione che prevedeva la memorizzazione delle password

Di: Paolo Gatti

Paolo Gatti — Tue, 24 Jul 2007 12:40:05 +0000

Anche a me riesce a beccare la password e utilizzo Firefox 2.0.0.5 su Arch Linux.

Ciao, Paolo.

Di: Vulnerabilità nel gestore delle password in Firefox 2.0.0.5 | Daniele Salamina’s Blog

Tue, 24 Jul 2007 12:14:37 +0000

[...] eseguito la demo con le impostazioni di default (quindi JS abilitati), e a differenza di Davide, la password viene captata [...]

Di: Felter Roberto

Felter Roberto — Tue, 24 Jul 2007 12:11:38 +0000

A me la password la legge.
Queste le caratteristiche:
Mozilla/5.0 (Windows; U; Windows NT 5.0; it; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

Di: Keper

Keper — Tue, 24 Jul 2007 10:20:08 +0000

Con il mio FF ha funzionato a dovere identificandomi utente e password.
Vero che io non uso mai il salvataggio perché non mi ha mai ispirato. Bisognerebbe provare se la tecnica funziona anche con email inviate a Thunderbird.

Di: Napolux

Napolux — Tue, 24 Jul 2007 09:06:21 +0000

E che cazz… Non si può mai stare tranquilli!!! C’è un modo di esportare le password salvate in Firefox da qualche parte?

Mi rispondo da solo…

https://addons.mozilla.org/en-US/firefox/addon/2848

Di: lafabbricadibyte

lafabbricadibyte — Mon, 23 Jul 2007 20:16:58 +0000

basta installare l’utilissima estensione NoScript e abilitare il java/javascript solo sui siti affidabili…
con questa estensione finora mi sono salvato da parecchi bug (vedi anche la recente vulnerabilità cross browser scripting tra IE e FF).