можно отследить http-сниффером.
Проще всего - HTTPLook-ом, однако он склонен вызывать зависания Фокса.

Punk_UnDead
Не личной информации.
И не надо всё приводить к абсурду

Punk_UnDead
Так я не понял. То есть все тут уверены, что это и исправлять не надо? (Ну, кроме одного из полностью здравомыслящих здесь Yan'a)

Браузер может отослать пароль чёрт знает куда при нажатии, к примеру, на картинку, это вроде как хорошо?

Отредактировано krigstask (15-12-2006 00:10:34)

мужики, честно говоря, я уже не поспеваю за ходом мысли
напишите конкретно: в чем опасность дыры с паролем?
вот я, типа, скачал Firefox. я - чайник. могу я потерять пароль? если "да", то при каких условиях?
я спрашиваю к тому, что одно дело описывать проблему абстрактными словами, а другое - просто и понятно объяснить ее суть.

да, и в 2.0.0.1, что должна на днях выйти, это закроют?

Условия следующие:
1) Есть сайт (например, хостинг для блогов), который позволяет пользователям создавать формы с типом password (дыра в безопасности сайта)
2) У пользователя есть эккаунт на этом сайте
3) Злоумышленник создает страничку с внедренной формой (возможно, замаскированной/скрытой)
4) Пользователь должен зайти на страничку злоумышленника - и его пароль к сайту попадает в руки злоумышленника

Совпадение пп. 1, 2 и 4 не так уж просто обеспечить. Видимо, поэтому в 2.0.0.1 она закрыта не будет, только в 2.0.0.2.

Этот случай мог быть счастливой случайностью для того, кто им воспользовался Особенно с учетом того, что это единственный известный случай юзания данного бага.

Кстати, а этот случай принес какой-нить сильный урон пользователю?

Отредактировано Пит Бэнкман (15-12-2006 13:13:18)

а с Opera были ли какие-нибудь подобные случаи? (любые)

вспомнилось - Почесал пол часа письмо сестре набирал, а потом Opera вылетела, у него нервный срыв. но это не считается.

stoneflash

не подлежит сомнению, что реально можно украсть только данные того портала, на который внедрена форма
что собственно и произошло
так что НЕ ПОЛЬЗУЙТЕСЬ MYSPASE там админы не заботятся о безопасности

stoneflash

Нельзя. narod.ru выдаёт отдельные домены третьего уровня. Это безопасно.

В Опере ситуация с багом аналогичная, но там для подстановки пароля от пользователя требуется нажатие жезла, поэтому украсть пароль сложнее.

Например РОЛ. Там для юзеров каталог. В 5 мегов!...

stoneflash

Если хостер выделяет пользователям каталоги, то хостер уязвим, и ему не следует размещать на том же домене просмотр (или отправку) какой-либо важной информации.
У rol.ru просмотр важной информации (почты) сделан на отдельном домене mail.rol.ru, что хорошо. Но форма входа располагается в корне rol.ru, что плохо. Ведь можно считать логин+пароль через JS, даже не прибегая к использованию обсуждаемого бага с автоподстановкой паролей.

Позволять пользователям внедрять собственный HTML без ограничений в пространство собственного домена опасно в любом случае! Необходимо парсить этот HTML и удалять оттуда всё лишнее (скрипты, стили, в некоторых случаях формы).

krigstask

Писал, да мельком. Никто внимания не обратил, видимо.

Уже вроде как 9.1f.
Скачал, посмотрел, -- ложную форму теперь не заполняет, но никаких предупреждений при отправке пароля на другой домен не появляется. Наверное, это правильный вариант, и разработчикам Firefox стоит поступить так же.