Poważna luka w Firefoksie
Zajmujący się bezpieczeństwem Aviv Raff twierdzi na swoim blogu,że luka w najnowszej wersji Firefoksa 2.0.0.11 pozwala naprzeprowadzenie udanego ataku typu phishing. Problem dotyczymożliwości sfałszowania informacji prezentowanych w okienkudialogowym żądającym podania loginu i hasła podczas procesuuwierzytelniania typu Basic Authentication. Dzięki temu atakującymoże oszukać użytkownika, przekonując go że okienko wyświetlanejest przez zaufaną witrynę. Demonstracja praktycznego wykorzystania tej luki znalazła się jużna YouTube.Chief Security Officer w Mozilli, Window Snyder, potwierdziła żeMozilla bada już ten przypadek. W komentarzu dla Internetnewszauważyła także, że Raff nie zgłosił tego błędu Mozilli, nie dającszansy na wcześniejszą reakcję i skuteczne usunięcie podatnościprzed upublicznieniem informacji. Snyder zauważyła też, żeinterfejs nowej, trzeciej odsłony Firefoksa będzie zbudowany tak,by zapobiegać podobnym metodom nadużyć w przyszłości. Jako tymczasowe obejście problemu autor odkrycia proponuje unikaćwitryn, które stosują uwierzytelnianie podstawowe opierając procespozyskiwania loginu i hasła o okno będące elementem interfejsuprzeglądarki. W praktyce jednak tryb Basic Authentication od dawnauważany jest za niebezpieczny i nie jest już powszechnie stosowany,praktycznie żadna poważna witryna nie korzysta z tej metodyuwierzytelniania i identyfikacji swoich użytkowników - spotkaćmożna go raczej już tylko przy okazji prac administracyjnych naserwerach, w trakcie których tego typu zablokowanie dostępu dowitryny jest często najszybszą i najprostszą metodą ograniczeniadostępu.
04.01.2008 14:25