Een kwetsbaarheid in de nieuwste versie van Firefox, 2.0, stelt kwaadwillenden in staat om op een eenvoudige manier inloggegevens voor websites te stelen. Ook Microsofts Internet Explorer 7 is niet waterdicht, maar bij die browser is de truc minder gemakkelijk.
De fout, die werd ontdekt door beveiligingsdeskundige Robert Chapin, maakt gebruik van de wachtwoordmanager in Firefox. Die vult automatisch de gebruikersnaam en het wachtwoord in in inlogschermen op eerder bezochte websites.
Sommige sites, zoals weblogs of internetfora, stellen bezoekers in gelegenheid zelf HTML-code aan de pagina toe te voegen. Kwaadwillende bezoekers kunnen dan een vals inlogschermpje maken, waarin Firefox automatisch een eerder op diezelfde site gebruikt wachtwoord invult. De methode werd op een pagina bij de populaire profielensite Myspace al ‘in het wild’ ontdekt.
De methode is gevaarlijker dan de gangbare truc om wachtwoorden te stelen. Daarbij wordt doorgaans een legitieme website nagemaakt, of bevindt het inlogschermpje zich op een andere server, iets wat beveilingssoftware of oplettende gebruikers gemakkelijker opmerken. Bij deze truc bevindt het inlogvenster zich echter daadwerkelijk op een legitieme site.
Internet Explorer is minder gevoelig voor de kwetsbaarheid van Firefox, omdat de browser niet standaard bekende wachtwoorden invult.
Nog geen reacties op "Browsers geven wachtwoorden prijs"
Plaats je reactie
Velden met een * zijn verplicht in te vullen