Уязвимость в менеджере паролей Firefox

dancemaster · №26

ну и где же патч 2.0.0.1? почему до сих пор не обновилось? уязвимость то есть...

Пит Бэнкман · №27

имхо в любом случае пользоваться менеджером паролей небезопасно. вне зависимости от того, есть ли в нем уязвимости или нет. я вот никогда его не использовал.

dancemaster · №28

не привык везде всегда пароли вручную вбивать.

stoneflash · №29

dancemaster

ну и где же патч 2.0.0.1? почему до сих пор не обновилось? уязвимость то есть...

Выход Fx 1.5.0.9/2.0.0.1 / Tb 1.5.0.9 запланирован на 14.12

Punk_UnDead · №30

Пит Бэнкман
может ты мне расскажешь, что это за уязвимость такая, что никто не знает
в чём она?
в том что форму можно внедрить на целевой сайт, а фокс заполнит поля и не скажет об этом?

Deleter · №31

https://bugzilla.mozilla.org/show_bug.c … 60493#c238

Не уверен до конца, что они сделали - опцию оставили, или совсем убрали все изменения (т.е. баг (багзилльный) не исправлен). В пятницу решали, что с патчем делать.

Пит Бэнкман · №32

может ты мне расскажешь, что это за уязвимость такая, что никто не знает

Дело не в ФФ конкретно, а в том, что я не хочу еще в одном каком-то месте оставлять свои пароли. Лучше их держать в уме.

Punk_UnDead · №33

просто характеризовать надо не как уязвимость, а как недостаток общей модели безопасности
причём надо разграничить, кто за что отвечает
а то может быть владельцы ресурсов пароль открытым текстом выложат и скажут что вводился через фокс

а по имеющимся сведениям и личным догадкам стоял и буду стоять на том, что это бока соответствующего портала позволяющего что попало, в конце то концов пароли пропадают не какие попало, а именно егойные

Пит Бэнкман · №34

просто характеризовать надо не как уязвимость, а как недостаток общей модели безопасности

Вот именно. Когда удобство в некоторой мере противопоставляется безопасности, я отказываюсь от такого удобства.

И еще: "невозможно украсть то, чего нет". Если браузеру не будут известны пароли, то и изъять эту инфу из него никак не получится. Причем даже если техническая возможность для такого изъятия есть. Как пример - текущая ситуация, обсуждаемая в данной теме. На меня этот баг совершенно никак не повлиял. Что есть он, что его нет - мне в некоторой степени все равно

Но лучше, конечно, чтобы он был устранён.

Отредактировано Пит Бэнкман (10-12-2006 15:28:31)

Punk_UnDead · №35

Пит Бэнкман
ну вот внедрят такую форму, а ты полезешь её заполнять
или всё же не полезешь?
будешь код рыть? смотреть что на какой портал отправляется?
это сомнительно, так и без автозаполнения пароли можно украсть и без жабаскрипта
другое дело что с этим паролей можно украсть больше

ЗЫ невозможно украсть пароль, внедрив форму, если форму внедрить нельзя

Отредактировано Punk_UnDead (10-12-2006 16:37:37)

Пит Бэнкман · №36

Punk_UnDead пароль можно украсть в десятках других случаев Но если не оставлять его в браузере, то на одну такую возможность будет меньше.

Полезная информация

№2610-12-2006 02:39:48

Re: Уязвимость в менеджере паролей Firefox

№2710-12-2006 02:44:46

Re: Уязвимость в менеджере паролей Firefox

№2810-12-2006 03:00:44

Re: Уязвимость в менеджере паролей Firefox

№2910-12-2006 03:05:18

Re: Уязвимость в менеджере паролей Firefox

№3010-12-2006 10:26:31

Re: Уязвимость в менеджере паролей Firefox

№3110-12-2006 12:32:19

Re: Уязвимость в менеджере паролей Firefox

№3210-12-2006 13:57:31

Re: Уязвимость в менеджере паролей Firefox

№3310-12-2006 14:32:46

Re: Уязвимость в менеджере паролей Firefox

№3410-12-2006 15:26:23

Re: Уязвимость в менеджере паролей Firefox

№3510-12-2006 16:30:20

Re: Уязвимость в менеджере паролей Firefox

№3610-12-2006 16:41:50

Re: Уязвимость в менеджере паролей Firefox

Board footer