Estas aquiContenido / Ocho meses después, Firefox sigue siendo vulnerable al robo de contraseñas
Ocho meses después, Firefox sigue siendo vulnerable al robo de contraseñas
Es cierto que Mozilla resuelve rápido algunos bugs (incluso cuando no son sólo responsabilidad suya), pero sin embargo hay otros cuya solución se eterniza.
Uno de estos últimos es el que permite robar las contraseñas que los usuarios de Firefox guardan en el navegador.
Y es que pese a ser considerado por Mozilla oficialmente resuelto, siguen estando abiertas posibles vías de explotación, y cualquier usuario de la última versión 2.0.0.5 puede comprobar fácilmente que su navegador continúa siendo vulnerable.
Etiquetas
discrepo... si el website pone la cookie, como httponly, no hay forma de ver la contraseña
Es verdad que Firefox 2.0.0.5 incorpora soporte httponly... pero también sigue siendo vulnerable a XMLHTTPRequest, otra bonita forma de robar las cookies...
Ya ves... Httponly ayuda, pero no es ninguna panacea. Y es una idea de Microsoft, por cierto ;)
Sin entrar en lo que te dice el anterior que también es cierto, incluir soporte para unas cookies no vulnerables no implica solucionar un fallo mientras sigue habiendo cookies que si son vulnerables, de todas formas a mi nunca me han gustado los gestores de contraseñas del navegador, demasiado "estándar" como para que nadie lo ataque, demasiado pesado poner contraseña maestra para que cualquiera que lo use no pueda ver tus contraseñas, demasiado arriesgado mejorarlo a través de extensiones.
a mi no me ha funcionado..
me ha aparecido el mensajito sin el user ni la pass
iceweasel 2.0.0.5
linux/debian testing
java y javascript enabled
No hay mejor ciego que el que no quiere ver.
Repite la demo.
...repetí seis veces la prueba sin borrar datos privados...nada, no la pegó una sola vez, todas las ventanas dicen lo mismo pero sin mostrar usuario y contraseña ¿será mi fire otra excepción?
Con Iceweasel 2.0.0.4 en Debian/Etch con javascript activado y el monito triste :)
Y no repito más de dos veces la demo. >:(
El hecho de que los navegadores guarden las contraseñas se considera una "funcionalidad". En el caso del ejemplo, la misma página a donde se envió originalmente la contraseña es la que está obteniendo la que se guardó. No veo vulnerabilidad en ese sentido ya que el sitio ya conocía la clave porque ya se le había enviado.
Claro, hay un javascript que podría haber sido introducido "subrepticiamente" por un tercero. Pero eso no creo que se pueda considerar debilidad del browser sino del sitio que permitió que se metiera código ajeno en sus páginas.
¿Qué solución esperan? ¿Que no se permita que los javascripts accedan a campos tipo password? Pero hay muchos casos en que se usa javascript para verificar por ejemplo que no se dejen campos en blanco y cosas así. No se puede quitar eso así nomás porque provocaría más problemas que soluciones.
Y que me importa que sea la idea de Microsoft? no entiendo el comentario... Para usar el firefox hay que ser antiMicrosoft?
Precísamente me bajé Firefox 2.0.0.5 hace una semana para probarlo, pero el bug que tiene a mí no me afecta. Nunca guardo las contraseñas en el navegador.
El caso es que me gustó Firefox. Siempre he usado Opera, que es más completo en cuanto a utilidades de usuario. Y lo seguiré usando, porque funciona en un live-cd de win32 y Firefox no.
... Pero, en favor de Firefox, y probablemente a costa de alguna inseguridad, tengo que decir que el nuevo Firefox navega mejor que Opera por mostrar algunos controles que éste último no permite.
Saludos.