Firefox 2.0 Password Manager alle prese con un bug

enore savoia il 27 Novembre 06 @ 09:34 am

@dade ho visitato la pagina che proponi con IE7 e mi restituisce un ottimo warning di Phishing site ;) con firefox no :D ... buon lavoro

dany il 04 Dicembre 06 @ 16:02 pm

Firefox 2: falla grave per password

É stata svelata una vulnerabilità critica in Firefox 2, la nuova versione del browser open-source di Mozilla, che risiede nella funzione Password Manager e può essere sfruttata in attacchi di identity theft per accedere alle credenziali (nome utente e password) salvate per una determinata pagina web da un'altra pagina pubblicata nel medesimo dominio, all'insaputa dell'utente vittima.

Questo problema è emerso dalla scoperta iniziale di Netcraft di un attacco RCSR in-the-wild per MySpace.

Come riporta Chapin Information Services (CIS) in un documento di analisi del bug, questa falla potrebbe essere utilizzata dagli attacker per colpire qualsiasi utente che sta visitando un blog o un forum che consentono l'aggiunta di codice HTML. Data la natura dell'attacco il CIS ha classificato questa tecnica come Reverse Cross-Site Request (RCSR).


...continua la lettura di questa notizia.
Tweakness.net autorizza pc-facile.com a riportare la presente news.

ale il 04 Dicembre 06 @ 16:04 pm

Mozilla e le password...

Pochi giorni fa è stata scoperta una pericolosa falla in Mozilla Firefox: si parla di sicurezza dato che questo difetto riscontrato nel browser Mozilla potrebbe compromettere le password salvate.
Queste ultime possono essere messe a repentaglio ogni qualvolta si visiti un blog o un forum nel quale è consentito l'inserimento di codice html.

L'attacco sembra poter colpire anche Internet Explorer ma è un bug di Mozilla a rendere più probabile la riuscita della frode.

Cosa è accaduto? Robert Chapin, esaminando uno dei molteplici tentativi di phishing di cui la rete è purtroppo piena, si è reso conto che il browser Firefox non solo non ha prodotto alcun segnale di allerta ma che addirittura erano state estratte informazioni dal Password Manager del browser stesso.
Il phishing in questione riguarda l'autenticazione degli utenti di MySpace e Chapin si è reso conto che Firefox non ha notato la discrepanza fra l'indirizzo apparente e il vero indirizzo a cui la form online che chiedeva di inserire user e password puntava.
Il browser Firefox aveva automaticamente inserito user e password registrati per il vero account MySpace di Chapin in quella falsa form di login.

Dunque veniva compilata automaticamente la form di un sito con i dati relativi ad un altro sito...

Una breve digressione a proposito di quanto è accaduto a MySpace. Netcraft ha scoperto un'azione di phishing ai danni di quella community: nella pagina principale di MySpace una falsa form di login conduceva user e password degli ignari utenti anzichè alla URL corretta http://login.myspace.com... ad un'altra URL ospitata su server francesi.

Sul perchè le community siano così prese di mira dagli autori di phishing e dai pirati informatici è stato scritto molto. Si tratta forse di un fenomeno ancora poco noto in Italia ma altrove non è così tanto che qualche mese fa sull'argomento è intervenuto il washingtonpost.com che ha posto in risalto l'eccesso di fiducia degli utenti di queste community.
Sembra infatti che pur di fare nuove conoscenze si trascuri la sicurezza o che, per ingenuità, si sottovaluti l'abilità dei pirati informatici e soprattutto, la grande fantasia di questi ultimi.
MySpace, Facebook, Friendster sono pensate come luogo d'incontro fra le persone, per permettere ad ogni utente in essi registrato di comunicare e di scambiare informazioni e conoscenze. Un eccesso di confidenza, o meglio, un abbassamento delle difese che in ambiti reputati istituzionali sono ben alte, mette a repentaglio i dati personali esponendoli a frodi o a furti d'identità

Come faceva notare Kim Hart nel suo articolo, la giovane età degli utenti e la cultura che incoraggia lo scambio di informazioni personali al fine di fare nuove conoscenze è una miscela esplosiva che innesca una vera e propria corsa all'invenzione di metodi sempre più sofisticati con cui carpire le informazioni.

Torniamo a Mozilla. Il successo di una tecnica di furto di dati basato sull'utilizzo di una form nella pagina web che consenta di veicolare direttamente il contenuto di user e password al sito desiderato, come accadeva nel phishing ai danni di MySpace, è molto apprezzata dai fraudolenti abitanti della Rete in quanto essi ben conoscono il funzionamento dei due browser più diffusi. Né Internet Explorer né Mozilla Firefox sono stati progettati con l'intenzione di sottoporre a verifica la destinazione di una form prima che l'utente invii attraverso di essa i propri dati.

Mentre sia per Firefox che per Microsoft fervono i lavori per porre rimedio alla situazione, un consiglio per quanto riguarda Mozilla FireFox può essere seguito: evitare di memorizzare user e password sul browser.

Per maggior sicurezza, è possibile, alla chiusura del browser, eliminare i dati personali. Ecco il percorso da seguire:

Strumenti > Opzioni > Privacy
si raggiunge così il riquadro Dati Personali. Occorre allora fleggare il campo Elimina sempre i dati personali alla chiusura di Firefox.
Cliccando su Impostazioni si può scegliere di eliminare i seguenti dati: cronologia navigazione, cronologia download, dati salvati nei moduli, cache, cookie, password salvate, sessioni autenticate.


tratta dalla Newsletter di Infinito.it
...www.infinito.it autorizza pc-facile.com a riportare la presente news.