The Inquirer: Heute hat die Mozilla Foundation einer Warnung für den Open-Source-Browser Firefox herausgegeben: Der Passwort-Manager hat die unangenehme Eigenheit, anderen Usern Log-Ins und Passwörter zu verraten. Robert Chapin, der Entdecker des gefährlichen Bugs, nennt den Fehler Reverse Cross-Site Request (RCSR) Vulnerability. Der Browser legt Log-In-Namen und Passwörter für eine Seite einer Domain auch gegenüber anderen Seiten dieser Domain offen. Chapin hat den Fehler über einen Exploit auf MySpace.com entdeckt: Ein gefälschtes Log-In-Formular, in das der Passwort-Manager seines Firefox automatisch seinen Usernamen und das Passwort eingetragen hat. Der Phishing-Versuch ist Chapin nur aufgefallen, weil demAuto des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist
Siehe Bugzilla-Report, Gruseldemo bei Heise (beim IE7 klappt der Test nicht, sprich gut so)
Empfehlung: Passwortmanager komplett abschalten
Super-GAU für Firefox, willkommen in der Realität:) *grummel*
also wird nunmehr mit Opera 9 gesurft, da der IE angeblich lt. einigen Quellen ebenso dafür anfällig sein soll (nur im Test klappt das nicht)!
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media Manager (m/w/d) in der Nähe von Rosenheim Schön Klinik Vogtareuth GmbH & Co. KG in Vogtareuth |
||
Social Media Advertising Manager (w/m/d) dm-drogerie markt GmbH + Co. KG in Karlsruhe, hybrid |
hoah, welch ein Glück das ich meine Pw noch nie gespeichert hab, ich tipp lieber, schon immer. Jetzt zahlt sich diese Angewohnheit aus.
Das kommt davon, wenn man zu faul ist sich die Passwörter zu merken und sie zu tippen!!!!
Bei mir sind es (auch) viele, aber das letzte bißchen Gedächtnistraining möchte ich noch haben 🙂
Der Sachverhalt wird hier nicht ganz richtig dargestellt. Die Sicherheitslücke hat nicht direkt mit dem Passwort-Manager zu tun. Es ist eher eine neue Art von Phishing, vor der der FF nicht gefeit ist. Er merkt einfach nicht, wenn die Eingabe des Logins nicht an die Seite geschickt wird, die den Login angefordert hat, sondern an irgendeine andere Domain. Und zwar auch, wenn man die Eingaben von Hand macht.
Das eigentliche Problem liegt hier aber bei der Website, die es über Cross-Site-Scripting zulässt, das ein Formular die Eingaben woanders hin liefert, als nach Hause.
Ich sage nur „endlich“…
Sobald ein Software-Produkt eine kritische Masse erreicht hat, dass es sich lohnt „Löcher“ zu finden, dann gehts los und ich glaube auch alle Macs haben „Löcher“, aber bei nur ca. 4% Nutzer weltweit lohnt sich die suche nicht, oder das entwickeln von Viren!
[…] Heise.de berichtete dass laut einer, von Mozilla in Auftrag gegebene Studie, der Firefox sicherer als sein Konkurrent sein soll. MS behauptete das Gegenteil und berief sich eben falls auf eine, in Auftrag gegebene Studie.Doch so schnell kann sich das Blatt wenden. Durch Robert Basic wurde ich aber darauf aufmerksam gemacht, dass derzeit der IE 7 wirklich sicherer ist als der FF 2.0. Er beruft sich da auf The Inquierer welcher darauf aufmerksam gemacht hat. Auch Heise berichtet davon. […]
Super-GAU für Firefox…
Firefox-Warnung: Passwortmanager hat brandgefährliche Sicherheitslücke
Empfehlung: Passwortmanager komplett abschalten!!!
……
Also der IE überprüft immerhin (laut heise.de) den kompletten Pfad.
Oops …
Nicht gut.
Lothar B. Baier hat hier wohl leider recht.
http://www.info-svc.com/news/11-21-2006/rcsr1/
Gebt hier die Zugangsdaten ein, speichert das Passwort nicht und klickt dann auf das Video. Danach schaut euch mal die URL genauer an und ihr werdet euren Benutzernamen und das Passwort wiederfinden.
Traurig aber wahr.
Schade das gute Bild von FF wurde befleckt. Trotzdem ist FF für mich immer noch das bessere Produkt im Vergleich zu IE. Der IE 7 ist für mich irgendwie träge und die darstellung der Websiten ist irgendwie anders, ich kann es nicht beschreiben.
Ich persönlich verwende aber sowieso Roboform, als Alternative für die Browserpasswortspeicherung, und damit gibt es bis jetzt solche Probleme nicht und ich habe alle Passwörter in allen Browser zur Verfügung.
Wie sieht es denn aus, wenn man seine Passwörter nicht über Firefox speichert sondern über ein Programm wie z.B. Roboform (www.roboform.com)?
Das müsste doch eigentlich sicher sein – oder täusche ich mich da???
Passwort-Manager im Firefox erstmal abschalten…
Schließ ich mich auch der Meldung an:
Firefox-Warnung: Passwortmanager hat brandgefährliche Sicherheitslücke
Und die zwischenzeitlich Lösung heißt auf jeden Fall:
Passwortmanager komplett abschalten
Unter anderem bei Robert, Golem und Heise…
Jörg, mach doch einfach oben den Heise-Test;)
@Rob
Ohne hier auf Heiseniveau kommen zu wollen.
Aber von einem Super-GAU zu sprechen ist wohl etwas übertrieben. Immerhin setzt es voraus, das der User auf die Phishingfalle reinfällt.
Und wenn er das macht, ist es egal ober das Login vom Fuchs oder dem User gemacht wird.
Schön ist der Bug nicht, das gebe ich zu. Ich denke mal, morgen wird es dann ein Update geben. Also kein warten auf den nächsten Patchday 😉
schön – kaum passiert sowas beim FireFox sagen alle wieder – ist unschön aber wird behoben – also kein Problem – nur bei MS wird gleich wie wahnsinnig rumgehackt….
ist irgendjemand in dieser Welt mal aufgefallen, dass MS inzwischen „menschlich“ wird, im Gegensatz zu Google??
(MS – people-ready business)
Firefox Sicherheitslücke: Passwörter können ausgelesen werden…
Gerade bei Basic Thinking gelesen. Jede Seite kann theoretisch alle gespeicherten Passwörter auslesen. Sobald man also eine infizierte Seite lädt, kann die Seite alle möglichen Passwörter auslesen, die in Firefox gespeichert sind.
Bei heise gibt es…
[…] Nun macht im Internet die Meldung die Runde, dass der Passwortmanager von Firefox 2.0 ein großes Sicherheitsloch besitzt. Kurz und relativ untechnisch erklärt ist es möglich, dass der Passwortmanager die gespeicherten Benutzernamen und Passwörter an Webseiten übermittelt, die gar nicht zum Empfang der Daten berechtigt sind. Entsprechende DiebesSeiten wurden auch schon gefunden. Dass der Empfänger dieser sensiblen Daten sicherlich nichts Gutes mit der der Beute im Schilde führt, kann sich sicherlich jeder selbst denken. […]
Bei Sicherheitskritischen Webseiten wie z.B Banken, Ebay, PayPal etc. speicher ich meine Passwörter nicht. Das ist mir zu heikel.
Bei unwichtigen wie z.B. Foren schon.
Ach, alles halb so wild. Betrifft doch nur Seiten, wo Fremde ein Formular hinzufügen können. Und wenn das Loginverfahren mit Cookies arbeitet und man auch JavaScript verwenden darf, lassen sich die Logins auch damit stehlen. Aber all das würde ich eher als Problem der Website sehen.
Gehe ich richtig in der Annahme, dass das Problem nur den FF 2.x betrifft? habe noch den 1.5.0.8 und da funktioniert die Heise Demo nicht.
Die Heisedemo geht nur mit aktivem JS(form.submit). Diese hier hat auch bei meinem 1.5.0.8er(Win 2k) geklappt.
Auch das Beispiel funktioniert bei mir nicht. JS ist natürlich aktiviert…
jede gute software hat auch mal einen fehler. das ist wie mit den menschen. es gibt keine perfekten mensch und somit auch keine perfekte software.
Danke für den Hinweis. Bei mir sind nur unwichtige Passwörter gespeichert.
Auf Grund des Tipps darf man Dir die unschöne Tautologie „Super-Gau“ verzeihen, oder?
Bin ich der einzige, bei dem sich die Abstürze seit FF 2.0 deutlich erhöht haben? Ist das normal?
@Ralf #22
Das ist komisch. Welches BS? Und irgendwelche Plugins oder externe Programme, die sich für PWDs verantwortlichen fühlen könnten?
Ganz ordinäres Win XP Home Edition SP2. Spezielle Plugins, die was mit den Passwörtern machen, habe ich eigentlich nicht installiert… *hmm*
[…] Bereits vor ein paar Tagen ist ein ganz übler Bug im Firefox 2.0 bekannt geworden und es wird in diversen Blogs, wie auch dem Basic Thinking Blog, wo ich es heute gelesen hatte, davor gewarnt, Zugangsdaten im Passwortmanager vom Firefox abzuspeichern! Da es möglich ist von beliebigen Seiten einer Domain, die vom Browser gespeicherten Passwörter von anderen Seiten dieser Domain, auszulesen. Wer die Sache nicht glauben mag, auf Heise.de kann man das austesten … […]
[…] Ojeoje, das klingt ja nicht sehr beruhigend – habe gerade bei basicthinking.de darüber gelesen, daß der Firefox Passwort Manager unsicher und mit Phishing Attacken dazu zu überreden ist, Passwörter zu verraten. Das scheint mir zwar eher ein Problem der vom Phishing betroffenen Site zu sein – trotzdem nicht schön für den Firefox. Empfehlung von “The Inquirer“: den Passwort Manager bis auf Weiteres abschalten … Plan B wenn man sich nicht alle Passwörter merken kann/möchte: auf ein Tool wie Roboform zurückgreifen … […]