Критическая уязвимость в Firefox 2.0

> Шифровать пароль через JavaScript практически бесполезно - если можно перехватить сам пароль, то можно перехватить зашифрованный пароль и данные, которые использовались для шифрования

нет, если использовать дайжест. например: ключ генерится на стороне сервера и передается клиенту, где скрипт получает пароль и делает дайжест по ключю+логину+паролю (AFAIK, SALT авторизация), а на сервер передает логин + дайжест, сервер делает аналогичные вычисления и сравнивает результат...

> а не будешь же реализовывать на JavaScript криптоалгоритмы с открытым ключём...

а почему бы и нет? :) если б я на это не забил, то таки доделал бы)). работа с длинными целымы, ограничивающаяся операциями сложения и умножения по модулю, не так уж и сложно. ведь на стороне клиента не нужно искать простых чисел или еще чего нибудь: получил открытый ключ _заведома известной длинны_ и с известным модулем (скажем, 65537), и зашифровать пароль этим ключем не так уж и сложно, openssl переписывать на жабаскрипт не придется :) хотя таки да, подтормаживать будет нехило при авторизации... кроме того, не решает проблемы, поднятой в этом топике...

> Линуксоид, сохраняющий пароли - это лох позорный, а не линуксоид...

+1

А что, ПМ кто-то пользует? Гы :)

> > Линуксоид, сохраняющий пароли - это лох позорный, а не линуксоид...

> +1

правильно, лучше маркером на самоклейке и на монитор, никакой троян не выцепит...

А что будет, если на каждый сайт записывать по, минимум, 2 пароля? ПМ в этом случае предлагает выбор или один из, или ничего...

В духе МС дырка то... Попсеет ФФ, попсеет.

>Хотя это может сильно усложнить жизнь скриптам, которые показывают степень надёжности пароля при регистрации или шифруют его при логине.

Можно не запрещать, а выдавать окно с большим красным хрестом и предупреждением, что от такая херня твориться с формой содержащей пароль и спрашивать мол таки да или ну его?

до FireFox никто не считал существование фишинга проблемой браузеров

> А кто сказал (кроме bochs), что уязвимость критическая?! Вот тут написано, что опасность низкя http://www.securitylab.ru/vulnerability/277855.php

И Secunia говорит, что less critical

не дырка, а отверстие!

бауманец-младшекурсник?

Так что, венде пипец? :)

open source это коллос на глиняных нагах

>бауманец-младшекурсник?

\offtop Гы-гы. Точно. :) Похоже на милые фразочки тов. Гусева с каф. начертательной геометрии. "Не дырка, а отверстие!" :)

Читай комментарии к оригинальной новости дальше - там обьясняется, что IE7 и Opera не vulnerable

> это очередная вариация XSS. Уязвимы firefox, mozilla (seamonkey), ie6 (возможно и 7), safari (и видимо konqueror тоже).

Konqueror хранит пароли в кедовом kwalletmanager. Правда, я всё равно руками ввожу :)

На слово дырка остро реанируют все преподаватели связаные с черчениемм, ну и типы вроде Sun-ch'а.

да ну а вы не думали, что в конце концов с помощью JS можно написать подобие кейлогера для самой странички, и не говорите что это не пойдёт, сам дела =) всё работает, и расшифрововать пароли не надо .

>А что, ПМ кто-то пользует? Гы :)

Конечно. А что, ты в состоянии запомнить все 2748 паролей к быдлосайтам? ;))

И не надо лечить мне про "секурность" - даже если кто и получит ЭТИ пароли - ссзб! :))

Мдаа... и после этого фаната FF будут кричать про то, что MS долго фиксит дыры?

http://news.netcraft.com/archives/2006/10/27/myspace_accounts_compromised_by_...

сообщение об уязвимости было опубликовано Netcraftом 27 октября, сейчас уже 24 ноября - почти месяц прошел - патча нет, на лоре вешается новость :)))

> да ну а вы не думали, что в конце концов с помощью JS можно написать подобие кейлогера для самой странички,

не думал, но идея мне нравиццо :) т.е. не нравиццо, но все равно нравиццо :)))

> и не говорите что это не пойдёт, сам дела =) всё работает, и расшифрововать пароли не надо .

и на фф (без носкрипт) и конкверере работает????

ещё как работало =) , но псссс... тихо, эт так по секрету =)

>> а far за что обосрали ?
> за компанию, как обычно.
Хорошая программа между прочим, зря ее так.

Похоже, что эти программеры способны в основном перекрашивать дефолтную тему да переимновывать/перегруппировывать опции в диалоге настроек. Я уж давно на оперу слез и других перетаскиваю. FF сослужил свою службу - показал чайникам, что есть браузеры, кроме IE. Теперь настаёт время оперы.

Seamonkey подвержена?

+1024 Задрали "уязвимости" типа "могут обворовать тех, кто всегда держит дверь открытой". Всё зло от жабаскрипта, а не от фокса. Adblock и noscript надо стьавить сразу. Ну и showip, как расширение, уже давно есть, если уж совсем параноидально подходить.

> это очередная вариация XSS. Уязвимы firefox, mozilla (seamonkey), ie6 (возможно и 7), safari (и видимо konqueror тоже).

Ну, у меня http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml в IE6 не сработало.

>Вывод: JScript правильно выключен ...

Свинцовые трусы не забыл одеть?

> Расширение NoScript спасёт человеков.

А расширения NoInternet ещё нет?

>Ну, у меня http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml в IE6 не сработало.

Opera 9.10 build 494 чисто

>Seamonkey подвержена?

Да.

Все бровзеры которые автоматически заполняют форму - подвержены.

> Все бровзеры которые автоматически заполняют форму - подвержены.

А на каком сайте мне проверить подверженность моей оперы? Heise говорит, что она не подвержена :) И IE6, кстати, тоже.

> А расширения NoInternet ещё нет? нету, но на подавляющем числе компов в сети по умолчанию включено расширение noBrains, так что никакие другие уже не помогут

>А на каком сайте мне проверить подверженность моей оперы? Heise говорит, что она не подвержена :) И IE6, кстати, тоже.

Я не пользуюсь оперой - но IE неподвержет по причине того, что он дожидается пользовательского ввода в поле логина и толлко потом заполняет, что значит, что он не подпадает под список бровзеров, которые _автоматически_ заполняют форму логина.

> Я не пользуюсь оперой - но IE неподвержет по причине того, что он дожидается пользовательского ввода в поле логина и толлко потом заполняет, что значит, что он не подпадает под список бровзеров, которые _автоматически_ заполняют форму логина.

Короче, фырфыр опять "самый безопасный"? :)

Странно, но у меня FF заполняет поля логина и пароля только тогда, когда я два раза кликну по нему и выберу из списка свой логин...

>Странно, но у меня FF заполняет поля логина и пароля только тогда, когда я два раза кликну по нему и выберу из списка свой логин...

Потому что их больше одного.

Вот так-то. Жареная лиса - дутый пиар. Уже ее хакают зеродеем не в первый раз. Вот так-то клоуны вся ваша секурность ФыФы и Линупса зиждется лишь на незаинтересованости хакеров, как только массы подсаживаются тутже вам и вирусы и эксплоиты и трояны, что и требовалось доказать. Синдром Неуловимого Джо называется.

дурашка, причем здесь лиса? Практически во всех броузерах есть эта проблема. Это не дыра, это фича, которая со временем оказалась опасной. Её надо отключить, и все будет понрмально.

> Так что работают в Мозилле над безопасностью. А не ошибается только тот, кто ничего не делает.

Ну а раз дырявый распиареный ФыФы ничем не лучше IE, то Internet Explorer наше фсио! Не ошибается только тот, кто ничего не делает!

> Практически во всех броузерах есть эта проблема. Это не дыра, это фича, которая со временем оказалась опасной. Её надо отключить, и все будет понрмально.

Это ДЫРА во всех кривых браузерах. А вот Opera - нормальный безопасный браузер.

konqueror:
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml
говорит, что я не подвержен, может таки всё-таки дело в браузерах ?

Почитал других, поставил оперу....вышел ФФ2, поставил-сестренке оставил-лучше вообще без браузера сидеть чем на нем.

> http://news.netcraft.com/archives/2006/10/27/myspace_accounts_compromised_by_...

> сообщение об уязвимости было опубликовано Netcraftом 27 октября, сейчас уже 24 ноября - почти месяц прошел - патча нет, на лоре вешается новость :)))

Насколько я понял, там сказано совершенно про другое - что кто-то завёл на myspace.com пользователя с логином login_home_index_html, и разместил на своей странице подложную форму для авторизации в надежде на то, что кто-то из её посетителей примет её за настоящую. Получается, что ты пытаешься ввести людей в заблуждение? И, видимо, ты не расчитываешь на то, что данная проблема будет решаться в сроки, характерные для IE - а то бы выждал несколько недель.

Народ, ну тормоза бесподобные! Вам же написали "опасность низкая" - это раз. Во-вторых, действительно, отключите в Фоксе фичу "Запоминать пароли для сайтов" и будет он у вас работать как тот же IE без всяких проблем. Выйдите на http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml и проверьте. Говорит, что вот если включите сохранение паролей, тогда будет работать. Короче, туфта это, а не дырка. Правильно кто-то сказал, просто фича, хочешь - пользуйся, не хочешь - отключи. Хотя бы до тех пор, пока не устранят проблему. И еще. Я по многим сайтам хожу, где оставляю всякие ничего не значащие логины и пароли. Перехватят - абсолютно не страшно. Единственный пароль, которым я дорожу - это тот, под которым я работаю с банковской кредитной карточкой. А вот тут уж извините. Я ни под одним браузером его никогда запоминать не буду. В крайнем случае ввожу его со своего личного блокнота, где он записан в таком виде, что кроме меня его никто не прочитает.

> может таки всё-таки дело в браузерах ?

нет, дело в идеологии. фф пытается запомнить логин-пароль для всего домена (конк строго асоциирует л.-п. с полным урлом, без #* и ?*, естественно), т.к. на большенстве форумов и ЦМС-ов форма для аутентификации "сквозная", т.е. присутствует везде в границах сайта, а не только на странице авторизации. т.е. как обычно: хотели сделать как лучше, вышло как обычно. считать это багом не совсем корректно, это фича, которая может быть использована не по назначению, как нож -- можно на хлеб масло намазывать, а можна и человека прирезать...

вероятнее всего, они ее либо вообще отключат, либо заполнение поля пароля будет только после ввода логина (поле логина заполняться не будет), либо будет выдаваться масса перевопросов со всякими там варнингами типа "жс пытается изменить экшн формы, разрешить?", "вы пытаетесь передать данные на другой домен/урл" и т.д. и т.п. и главное -- без чекбокса "больше не показывать это предупреждение" :)

> В крайнем случае ввожу его со своего личного блокнота, где он записан в таком виде, что кроме меня его никто не прочитает.

base64?

> Во-вторых, действительно, отключите в Фоксе фичу "Запоминать пароли для сайтов" и будет он у вас работать как тот же IE без всяких проблем.

IE без проблем работает и с включенным запоминанием паролей. Это раз.

У меня под 20 паролей. Чё, записать в книжечку и спрять под свинцовые трусы? Это два.

Не издевайся. По крайней мере, если попадет в чужие руки - навряд ли найдут или догадаются что это и где это, меры простые, но эффективные. Просто для людей, которые понимают, что они делают, данная проблема не представляет опасности.

> вероятнее всего, они ее либо вообще отключат

Сойдёт лишь как временная мера.

> либо заполнение поля пароля будет только после ввода логина (поле логина заполняться не будет)

Идеальный вариант. Именно так сделано в IE. Но чупачупсы решили выипнуться. Ну, выипнулись, пилять. Чё теперь?

> либо будет выдаваться масса перевопросов со всякими там варнингами типа "жс пытается изменить экшн формы, разрешить?", "вы пытаетесь передать данные на другой домен/урл" и т.д. и т.п. и главное -- без чекбокса "больше не показывать это предупреждение"

Чайникам пох. Они всё равно жмут OK, не читая. Потому что этих warning'ов и так куча.