Categories
main mozilla po polsku tech

Podszywanie się podczas logowania przy użyciu mechanizmu BasicAuth w Firefoksie

W związku z licznymi raportami dotyczącymi Super Poważnego Błędu w Firefoksie, pozwole sobie streścić po Polsku odpowiedź z Mozilla Security Blog.

Problem

Napastnik może oszukać użytkownika podczas wyświetlania opisu zasobu do którego użytownik się loguje i sprawić, aby użytkownik pomyślał, że loguje się do innej, zaufanej strony.

Wpływ

Podczas wyświetlania okienka dialogowego prostej autentykacji, Firefox wyświetla aktualne źródło zapytania na samym końcu tekstu w okienku. Niektóre inne przeglądarki wyświetlają adres źródła zapytania na samym początku tekstu dialogowego, lub jako fragment tytułu wyskakującego okna, co zmniejsza niebezpieczeństwo pomyłki.

Taki sposób prezentowania informacji przez Mozillę Firefox może umożliwić napastnikowi spreparować okno dialogowe autentykacji, które będzie mylące i w efekcie spowooduje wysłanie danych logowania do napastnika.

Status

Mozilla jest w trakcie analizy problemu i wstępnie okresliła poziom zagrożenia na niski. Można śledzić prace nad tym problemem tutaj: https://bugzilla.mozilla.org/show_bug.cgi?id=244273

Podziękowania

Problem został zgłoszony publicznie oraz na listy mailingowe bugtraq przez Aviva Raffa.

http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx