Távolról ellophatók a böngészőben lementett jelszavak, ezért érdemes mindet azonnal kitörölni, amíg a Firefox fejlesztői nem javítják a hibát.

Július 24-én elkezdődik az Egyesült Államokban az egyik legnevesebb nemzetközi hekkerkonferencia, a Black Hat [1], és az ilyenkor szokásos módon már hetek óta olvashatóak a beharangozók, melyek a legizgalmasabb előadásokra, bemutatókra kívánják felhívni a figyelmet.

A Firefox népszerűsége miatt az egyik legérdekesebbnek Jeremiah Grossman [2] prezentációja ígérkezik, aki azt fogja bizonyítani [3], hogy a JavaScriptet felhasználva milyen könnyű kinyerni a Firefox felhasználóitól a tárolt jelszavakat. A szaktekintélynek számító Grossman mindezt megfejeli azzal, hogy a személyes adatok megszerzésének módját demonstrálja az Internet Explorer 6-os és 7-es verziója esetében is.

A beharangozott demóban a WhiteHat Security [4] alapítója és technológiai vezetője, a Web Application Securtity Consortium (WASC [5]) társalapítója azt kívánja megmutatni, hogy a Firefox jelszókezelőjében tárolt adatok úgynevezett cross-site-scripting (XSS-) támadásokkal megszerezhetőek, mindössze az kell hozzá, hogy a támadó egy vírust tartalmazó weboldalra csábítsa el a felhasználót. Az IE említett verzióinak esetében Grossman azt fogja bemutatni, hogy az egyébként igen hasznos automatikus kiegészítés miképp használható arra, hogy egy támadó megszerezze a begépelt személyes adatokat. E sebezhetőségek egyike sem új már, ám jelenleg is működik mindegyik.

Habár még senki nem látta a bemutatót, a networkworld.com [6] már ad hasznos tanácsokat a védekezéshez. A legegyszerűbb, ha a felhasználó törli a tárolt jelszavakat a jelszókezelőből, majd nem is tölt fel ide többet (vagyis nem jegyezteti meg a böngészővel őket). Ha mégis szeretnénk használni ezt a kényelmi funkciót, akkor javasolnak egy kiegészítőt (LastPass Password Manager [7]), ám ez a tapasztalatok szerint (főként a Windows 7 rendszeren) gyakran összeomlasztja a Firefox 3.6.6-ot. Ha egyik megoldás sem szimpatikus, akkor érdemes – legalábbis a sebezhetőség javításáig – a böngészőn kívül tárolni a jelszavakat, például egy olyan programmal, mint a KeePass [8] – ehhez azonban a Wine program használata szükséges (linuxosoknak a KeePassX [9] ajánlott a lap szerint).

Megjelent: ITcafé, 2010. július 21., szerda 10:58 (http://index.hu/tech/2010/07/21/lenyulhatok_a_jelszavak_a_firefoxbol/)