Ну это забавно. Давно думал, что Firefox - это круто. Но с выходом 2.0 перешел на Konqueror. Отлично работает и проц почти не жрет при выкачивании файлов. (Почему-то Firefox иногда кушает ~50% CPU)

> Note MSIE6|7 do the same.

зачот :) всегда считал FF поделием :)

p.s. как сидел на опере 8 лет так и буду сидеть...

Нда.. приятная новость, сон как рукой сняло.

> зачот :) всегда считал FF поделием :)

А прочитать баг не дано?

это очередная вариация XSS. Уязвимы firefox, mozilla (seamonkey), ie6 (возможно и 7), safari (и видимо konqueror тоже).

Не уязвима Opera, там принципиально другой подход к хранинию паролей.

Но это не повод катить бочку на ff

IE7 так же affected.

Хотя и у Оперы не все идеально:

> * They'll worry about semi-phishing against Opera users, assuming Opera's only defense is requiring a click on the "wand" button.

Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

хранить пароли в браузере - моветон

> Таким образом надо просто осторожно серфиться и быть внимательным. И пароли не сохранять :)

А ещё лучше от Интернет отключиться.

да там все просто - невидимый inner frame на сайте с формой в котором содержаться поля ввода login,password. Они автоматически заполняются пассворд менеджером. javascript ждет пару секунд потом меняет акшен формы и делает сабмит. С новым годом.

> Уязвимость уже используется хакерами на сайте MySpace, перенаправляя пользователей на ложную страницу, где вводятся пароли.

нормально, блин

Посмотрим, в каком браузере раньше пофиксят...

Линуксоид, сохраняющий пароли - это лох позорный, а не линуксоид...

Никогда не пользовался этим пассворд манагером... а зочем? действительно, как сказал один ананимус - маветон :)

>p.s. как сидел на опере 8 лет так и буду сидеть...

зря

зы: ушел с винды и этой поделки для пальцатых вантузоидов exUSSR стоящей в одном ряду с bat-ом far-ом и totalcommander-ом

правильно, лучше использовать один-два простеньких пароля на всех десятках сайтов требующих регистрации

у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

p.s.собственно всегда и ассоциировал с конкретным урлом а не сайтом

> хранить пароли в браузере - моветон

+1; Просто не надо делать на своей рабочей станции logout с тех сайтов, которые часто посещаешь :).

Вот еще одно наглядное доказательство, что безопасных сетевых приложений (в частности, браузеров) просто не бывает. И лозунг "самый безопасный браузер на земле" очередной грязный пиар, только на этот раз не от MS.

Ну вот, опять что-то нашли..

а far за что обосрали ?

А TotalCommander и Bat за что обосрали?

ЗЫ Щас вылезут красноглазые и начнут кидать в меня катяхами. Руки только не запачкайте, господа!

Вывод: JScript правильно выключен ...

Расширение NoScript спасёт человеков.

По поводу поделий и т.д.

http://www.mozilla.org/security/phishing-test.html Так что работают в Мозилле над безопасностью. А не ошибается только тот, кто ничего не делает.

>For information, I tried the demo at Heise from comment #66 with >Konqueror (3.5.5) and it failed to steal the password. However I also >tried with FireFox-1.5.0.8, and it failed to steal the password there >as well.

Расширение NoScript ? скорее YesScript расширение, а NoScript наооборот, не знаю как правильно сказать, сужение чтоли... ;)

>у оперы есть такая вещь в пассворд-манагере - ассоциировать логин/пасс с конкретным урлом, а не целым сайтом.. думаю это поможет :)

нет.

> а far за что обосрали ? Ну у чувака просто ума не хватило с ним рабоботать

> Никогда не пользовался этим пассворд манагером...

На все сайты один пароль?

Ходишь всего на два сайта?

Обладаешь абсолютной памятью?

А я вот недавно на softwareforums.intel.com зайти не мог. Может в этом дело было ? Вот же мать их... ФФ 2.0.

> а far за что обосрали ?

за компанию, как обычно.

Ограничение.

а мне понравился клипчик по ссылке с багзиллы ; "expanding previous test case"

Сильно сомневаюсь что проблема настолько критична, а то что внимательно надо ходить по сети не нажимая куда попало мышкой - это ещё дедушка Ленин завещал, ну или кто-то типа того. Новость - спам!

Буахаха!! Не спасёт! И отключение JavaScript не спасёт!

Это не просто баг в движке, это недосмотр в идее хранения паролей во всех современных браузерах.

проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

Все.

я так и не понял, а как на счёт ФФ 1.5 ,он тоже уязвим?

Заголовок неправильный. Должно быть "в Firefox, IE, Safari, Опера под вопросом."

>> хранить пароли в браузере - моветон

+2

мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина.

> проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

и чего это даст? наличие "date" делает запоминание паролей в принцыпе невозможным, и если кому то захочется чтоб браузер запомнил пароль, он (браузер) будет выдавать запрос на сохранение при каждой попытке входа. все остальные навороты ("xGrhdkrek-sitedomain-") подделаваются без каких либо проблем. если имя будет генериться, например, раз в день, то злоумышленнику ничего не будет стоять с утра обратиться к оригинальному сайту, выцепить сигнатуру каким-нибудь регекспом вроде m/<input\s+type=password\s+name=\"([^\"]+)\">/i и подставить $1 в свою форму...

>я так и не понял, а как на счёт ФФ 1.5 ,он тоже уязвим? Да.

И вообще, FF выдает ворнинг о том, что вы пытаетесь заслать данные на другой УРЛ. Если пользователь нормальный, он нажмет НЕТ и ничего страшного не произойдет. ИЕ, к примеру, ворнинг не выдает вообще.

По поводу уязвимости оперы и сохранения пароля для определенного урла: Ничем это не спасает, курите ссылку.

>мда, из всех комментаторов поняли в чем дело всего пара человек. и noscript-то тут причем? бред собачий. печальная картина. +1

>проблема решается на уровне изготовителей сатов. вместо <input typy=password name="password"> надо писать <input type=password name="xGrhdkrek-sitedomain-date">

>Все.

И что это должно изменить? Просто тебе в iframe надо будет запихнуть не статический html, а скрипт. Или обновлять htmlку удалённо каждые N минут.

Я думаю, тут лучше сделать так, чтобы из javascript нельзя было менять ACTION, если в FORM есть TYPE=PASSWORD. А запоминать комбинацию domain/name/action.

Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

> и noscript-то тут причем?

noscript при том, что если сам нажал на кнопку на подставном сайте, не обратив внимания на несоответствие логина и странички, значит сам дурак, а если только ввел сцилку или нажал на линк в гугле, а оно уже само все сделало (т.е. передало все что нужно кому нужно... т.е. кому не нужно :) ), то это намного хуже...

запоминание пароля не сработает - вот что главное.

А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

А кто сказал (кроме bochs), что уязвимость критическая?! Вот тут написано, что опасность низкя http://www.securitylab.ru/vulnerability/277855.php

>и noscript-то тут причем?

имхо, предлагалось отключить выполнение скриптов в браузере. Чтоб никто ничего не подменил и не "засабмитил" :)

И вообще, моветон - это сама такая "авторизация" :/ с позволенья сказать, при которой пароль вводится неизвестно где и пересылается неизвестно кому по открытым каналам в открытом виде...

(ну, "моветон", может и слишком. но соображать же надо!!! где использовать...)

> Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Шифровать пароль через JavaScript практически бесполезно - если можно перехватить сам пароль, то можно перехватить зашифрованный пароль и данные, которые использовались для шифрования, а не будешь же реализовывать на JavaScript криптоалгоритмы с открытым ключём...

> А вообще, тогда можно добавить и REMOTE_IP в имя переменной пароля. Ну и проверять естественно на стороне сервера (ибо это очень легко). <input type="password" name="pass-123.123.123.123"> Ну и как тогда обойти это?

элементарно Ватсон, достаточно просекти эту тему и соотв. образом подправить скрипт генерации ложной формы. тогда:

1) ты ображаешься к оригинальному сайту с исходящим ипником 123.123.123.123, получаешь форму с полем <input type="password" name="pass-123.123.123.123">.

2) злоумышленник обращается к ориг. сайту с исх. ипником 111.111.111.111, получает <input type="password" name="pass-111.111.111.111">; делает s/111\.111\.111\.111/%%remote-ip%%/g.

3) ты обращаешься к якобы-ориг-сайту, но попадаешь на сайт зл.ум.а (со своим исходящим ипником 123.123.123.123 !!!), зл.ум. делает s/%%remote-ip%%/$ENV{REMOTE_IP}/g и выдает тебе результат.

думаю, дальше обяснять не надо? ;)