Printable View
è stato scoperto un bug che consentirebbe ad un malintenzionato di rubare le password salvate dal browser (sia FireFox2 che Internet Explorer)
ecco il link alla notizia:
http://www.zeusnews.it/index.php3?ar...232&numero=999
ps
al momento non esistono patch!!!
io uso Portable Firefox e dal menu Strumenti sono andato a disabilitare il salvataggio delle password
L'unica "patch" è disattivare la funzione di salvare le password da strumenti-opzioni...
ma scusate...
non so se ho capito come funziona...
ma mi par di capire che deve essere bucata la pagina in cui ci sono i dati!!!
tipo se io metto del codice html qui che con ovviamente i due campi hidden che fa submit da qualche altra parte lui invia i vostri dati di altervista...
ma non posso di certo prendere i vostri dati di gmail etc...
in pratica il propritario stesso del sito può mandare i dati che usate sul suo sito, via submit di un form, in un altro sito...
se è cosi' non vedo nulla di grave... :S
ho capito male?
io nn sono riuscito a trovare il sito dello 'scopritore' ma da quanto ho capito è come dice evcz, però su alcuni forum è possibile postare anche coedice html e molta gente usa la stessa password anche per cose diverse...
nel sito dello scopritore, nella codice per youtube vedi due campi hidden...
si... il problema sta nei siti NON SICURI.. che possono essere sabotati.... :)
@evcz: quello che dici tu è valido solo per IE che invia i dati solo alla stessa pagina... cn FF puoi puntare anche ad un altro dominio, è quello che ho capito leggendo PI
cià!
intendevo dire: dev'essere il sito in cui hai messo i dati a non essere sicuro e a sfruttare l'exploit, non penso funzioni con siti terzi...
sisi credo che sia come dice evcz, il completamento automatico dei campi dei form con user e pass, usato su firefox, funziona solo se il dominio (e anche la pagina se nn sbaglio) corrisponde esattamente a quella solitamnete utilizzata per il login, quindi si deve modificare il codice html del sito di cui si vuole rubare la password altrimenti non funziona. poi certo, se uno fa il login su un sito che non consce inserendo i dati dell'account di paypal allora è un deficente....