Firefox Passwort-Manager verrät Passwörter
de.theinquirer.net schreibt: “Heute hat die Mozilla Foundation einer Warnung für den Open-Source-Browser Firefox herausgegeben: Der Passwort-Manager hat die unangenehme Eigenheit, anderen Usern Log-Ins und Passwörter zu verraten. Robert Chapin, der Entdecker des gefährlichen Bugs, nennt den Fehler Reverse Cross-Site Request (RCSR) Vulnerability. Der Browser legt Log-In-Namen und Passwörter für eine Seite einer Domain auch gegenüber anderen Seiten dieser Domain offen. Chapin hat den Fehler über einen Exploit auf MySpace.com entdeckt:
Ein gefälschtes Log-In-Formular, in das der Passwort-Manager seines Firefox automatisch seinen Usernamen und das Passwort eingetragen hat. Der Phishing-Versuch ist Chapin nur aufgefallen, weil demAuto des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist. .” Ganzer Artikel. Weiteres: heise-security.co.uk – Password stealing und Bugzilla-Report
Empfehlung: Den Passwort-Manager vorerst nicht mehr verwenden und auch nicht die Master Password Timeout Firefox Extension.
Das Problem ist ja glücklicherweise im neuen Firefox behoben, für Leute die immer noch paranoid sind wegen Ihrer Passwörter, können sich ja das FingerAuth Firefox Plugin installieren. So einen Fingerprint Reader hat ja eh schon jeder 2. Rechner standardmäßig drinnen..zumindest in meinem Bekanntenkreis. Bei meinen Seiten wo es wirklich wichtig ist, wechsel ich das Passwort eh jede Woche. Naja…vielleicht bin ich ja auch etwas paranoid =]