Taloussanomat
Lue uutinen mobiilisivustolla
Vanha haavoittuvuus hyödynnettävissä edelleen

Firefox ja Safari vuotavat tunnukset ja salasanat

24.7.2007 11:10 Mozilla-kehittäjät paikkasivat viime vuonna Firefox-selaimeen tallennettujen salasanojen ja tunnusten vuoto-ongelman, mutta aukkoa voidaan edelleen hyödyntää.

Saksalaisen Heise Securityn mukaan viime vuonna löydetty ja paikattu Firefoxin tallennettujen salasanojen hallintaan liittyvä tietovuotohaavoittuvuus on edelleen hengissä.

Jos käyttäjä antaa selaimen sisäänrakennetulle salasanalompakolle luvan tallentaa tunnus ja salasana jollain sivustolla, selain yrittää täydentää automaattisesti millä tahansa sivustolla olevia tunnus- ja salasanakentät samoilla tiedoilla.

Omien sivujen luontia tarjoavat yhteisösivustot tuottavat vielä oman lisänsä ongelmaan. Hyökkääjä voi luoda suositulle sivustolle, kuten esimerkiksi Myspaceen, oman sivun, joka sisältää sivuston sisäänkirjautumislomaketta matkivan lomakkeen, joka välittää hyökkääjälle kirjautumistiedot. Lomake voi vielä lisäksi peittää sivuston oikean lomakkeen.

Viime vuonna Mozilla-kehittäjät paikkasivat selaimen tarkistuksia hiukan, mutta vanhan hyväksikäyttökoodin virittelyllä tarkistukset voitiin ohittaa.

Heisen mukaan Mozilla-kehittäjät ovat sitä mieltä, että jos hyökkääjä pystyy hallitsemaan ja muokkaamaan palvelimella sijaitsevia sivuja, hän voi tehdä paljon muutakin ja monimutkaisempia asioita kuin luoda valekirjautumislaatikoita. Lisäksi selaimen tunnuslomaketoiminnan muuntamisen pelätään heikentävän selaimen käytettävyyttä.

Myös Applen KHTML/Webkit -pohjainen Safari-selain käyttäytyy hyvin samalla tavalla.

Jutun kirjoitti: Matias Mäki

Matias Mäki

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Mainitut yritykset

Kommentit (13)

Sivut: 1 2
EdellinenSeuraava

Anonyymi
Selityksen makua Mozillan puolelta...
Anonyymi: Hebe 24.7.2007 11:29

Anonyymi
Hyvänä vaihtoehtona olisi vaikka heivata kyseinen toiminto kokonaan pois selaimesta. Siinä tulisi vähän edes enemmän aivoliikuntaa kun pinnistelisi välillä tunnustensa ja salasanojensa kanssa.
Anonyymi: Sitä saa mitä tilaa 24.7.2007 11:46

Anonyymi
"Jos käyttäjä antaa selaimen sisäänrakennetulle salasanalompakolle luvan tallentaa tunnus ja salasana jollain sivustolla, selain yrittää täydentää automaattisesti millä tahansa sivustolla olevia tunnus- ja salasanakentät samoilla tiedoilla. "

Jotta exploitti toimisi, eikö kyseessä pidä olla saman domainin alla oleva sivusto, eikä "mikä tahansa sivusto". Esim. jos olet tallentanut tunnuksesi googleen, ei näitä tietoja täydennetä microsoft.comissa.

Virheellistä uutisointia.
Anonyymi: Topias 24.7.2007 12:00

Anonyymi
Ei tarvi olla tyhmä. Toiminnon voi ottaa pois käytöstä, jos ei sitä halua.
Itse käytän tuota todella monella sivulla. Salasanojen onkiminen ei kuitenkaan ole nuin helppoa, kuin tuossa kuvataan. Firefox kyllä täydentää formin, mutta sehän tapahtuu selaimessa. Jollain se lomake pitää lähettääkkin. Joko käyttäjä itse joutuu painamaan lähetä, tai sitte javascriptillä, mutta minulla on javascriptit estetty tuntemattomilta sivuilta. (Noscript laajennus)
Anonyymi: Sepeto 24.7.2007 12:01

Anonyymi
Jotta exploitti toimisi, eikö kyseessä pidä olla saman domainin alla oleva sivusto, eikä "mikä tahansa sivusto".

Melkein ja ei ihan kuitenkaan. Suoraan heiseltä: "If you visit a login page again, the password is then entered automatically. But this means, that a second, evil page on the same server could steal those saved passwords." Elikkä toimii silloin kun ollaan samalla servolla, eli esimerkiksi google tunnukset varastaakseen täytyisi saada rakennettua "paha sivu" googlen serverille. Domain voi siis olla periaatteessa eri, mutta servon täytyy olla sama. Eli tämmöinen perinteinen jossittelu...

(Lähde: http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml)
Anonyymi: Juupajuu 24.7.2007 12:16

Anonyymi
Saisitte uutisoida tarkemmin. Tällainen taso leimaa IT-viikon uutiset lähinnä humpuukiksi. Tässähän ei käytännössä FF:ssä ole mitään tietoturva-aukkoa.
Anonyymi: Ikuinen kriitikkonne 24.7.2007 13:52

Anonyymi
Taidan jatkossakin pitäytyä Operan käytössä.
Anonyymi: Opera 24.7.2007 14:45

Anonyymi
Mitenkäs nämä sormenjälkitunnistimet pelaavat? Jos nimittäin pykäisi tuollaisen näppäimistön kylkeen ja sen kautta sitten hoituisi kirjautuminen jokaiseen palveluun?
Anonyymi: Sormenjälkitunnistus 24.7.2007 15:16

Anonyymi
Tälläiset salasanan muistavat toiminnot ovat aina tietoturvaaukko. Kannattaa pitää ne salasanat aivoissaan.
Anonyymi: Toni Hintikka 24.7.2007 15:22

Anonyymi
Olen aivan samaa mieltä Tonin kanssa. Ne salasanat aivoihin ja sillä selvä. Eipä hetkauttanut minun maailmaani tämäkään uutinen. Itse kun naputan AINA salasanat ulkomuistista enkä tallentele niitä minnekkään.
Anonyymi: Tomsa 24.7.2007 15:31
Sivut: 1 2
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2009

Viisi vuotta sitten

Tieto siirtää lisää töitä halpamaihin

21.10.2009 Aasialaiset kilpailijat ovat laajentaneet tietotekniikkapalveluissa uusille toimialueille ja pakottavat Tiedon siirtämään lisää töitä Kiinaan ja Intiaan.


2011

Kolme vuotta sitten

Tietoala antoi lakkovaroituksen

21.10.2011 Lakkoon ovat menossa Tiedon, Logican ja IBM:n toimihenkilöt. Työnseisaus alkaa viikon päästä maanantaina.

.