di Percy Cabello
E' stata annunciata ieri una vulnerabilità in Firefox nella gestione della password memorizzate: questa vulnerabilità permette a Firefox di completare automaticamente un modulo con le credenziali salvate, indipendentemente da dove queste siano inoltrate.
Come dimostrato in questo esempio, con riferimento al bug corrispondente registrato in BugZilla, le credenziali memorizzate vengono recuperate purché un modulo similare sia pubblicato all'interno dello stesso sito web. Robert Chapin si è imbattuto in questa vulnerabilità mentre navigava sul famoso sito di MySpace.com. Stava visitando un profilo di un utente quando è comparso un modulo molto somigliante al classico modulo di logon di MySpace. Poiché questo era ospitato presso MySpace.com, Firefox ha completato automaticamente il modulo fasullo. Un'anomalia presente in questa finestra contraffatta ha messo in allarme Chapin e lo ha salvato da un furto di identità, seppur di poco conto.
Gli utenti devono essere preparati e agire con prudenza, ricontrollando i moduli completato automaticamente. Se preferite comunque rimanere nella piena sicurezza, potete disabilitare il salvataggio delle password in Firefox.
- Nel menu Strumenti, scegliete la voce Opzioni
- Nella pagina Sicurezza, deselezionate Ricorda le password dei siti
1 commento:
Io ho provato a fare il test sul sito di Chapin e mi sono accorto che se inserisco due username, diciamo username e usernamefalso, il completamento automatico viene bloccato perchè firefox non sa decidere quale dei due inserire.
Sul sito di Netcraft viene anche detto che gli utilizzatori della toolbar sono stati avvisati del misfatto su Myspace, ma provando il proof of concept di Chapin Netcraft non mi ha avvisato di nulla.
Ciao
Posta un commento