Firefox 2 - password manager sebezhetőség

Titkosítás, biztonság, privát szféra

A tegnapi napon a mozilla egy, a Firefox 2.0-ben (operációs rendszertől függetlenül) jelenlévő kritikus hibát publikált, amelyet kihasználva a Password Manager-ben tárolt jelszavak third-party weboldalak számára is elérhetővé válhatnak. A hibát kihasználó exploit közkézen forog, és pl. egyes Myspace felhasználói oldalakon aktívan ki is használják.

Bugzilla site, PoC (Az ablakban megjelenő URL-t figyeld)

( egmont | 2006. 11. 23., cs – 12:13 )

[nagyon off és troll, elnézést]
"A tegnapi napon..." - boa, okádhatnékom támad az ilyenektől. Miért kell mindent túlbonyolítani? Nem lehetne egyszerűen azt mondani, hogy "Tegnap"???
[/nagyon off és troll, elnézést]

Persze, joga van, nem probléma, csak ettől még valahogy kijött belőlem, hogy mennyire irtózom ezektől. Tudod, sokkoló élmény volt a közelmúltban a holnapi konferencia 200 oldalas anyagát végigolvasni és lektorálni – bár én még szemet hunytam néhány olyan megfogalmazás fölött, amit aztán más lektor átírt sokkal normálisabban hangzóra. Mindössze arról van szó, hogy nem értem, miért terjed népbetegségként, hogy mindent sokkal bonyolultabban mondunk, mint ahogyan lehetne. Amire van egy szó, az túl snassz, keresünk helyette egy 2–3 szóból álló szerkezetet, ami pont ugyanazt jelenti. Ha megfigyeled, manapság már nem is „magyarul” beszélünk, hanem „magyar nyelven” nagyon sokak szerint. Erőltetett és magyartalan műveltető szerkezeteket használunk (pl. megnyitásra kerül) az általános alany helyett (megnyitják), igekötő nélkül már nem is nagyon használunk igéket (például kiexportáljuk a fájlrendszert, hogy egy kifejezetten durva, ám gyakori példát említsek) stb.

És végül egy részlet A Magyar Helyesírás Szabályaiból: „Az érzelmek hullámzását vagy erősebb fokát írásjelek halmozásával érzékeltethetjük: Hogy képzeled ezt?! Valóban?? Nem!!! Stb.” Tehát ehhez még csak írói szabadság sem kell. :-)

Azt hiszem ismered a Mátrixanalízist oktató professzor urat :) Szerinte az idegen szavakat az emberek nem értik, ezért azt hiszik, hogy akkor az valami tudományos dolog. Ezért bennünket is bátorít a használatukra :)
Szóval csak minél körülményesebben, hogy elfedjük, milyen semmitmondó a tartalom.

Engem a "jómagam"-tól ráz ki a hideg...

Nem hinném, hogy ilyen egyszerű. Szerintem nagyon is értik, és nem véletlen.
Mi is értjük vajon? Minden akció - ugye - reakciót vált ki. Túl sokan vagyunk talán... :) Néha úgy érzem, az emberek csak kötekedni járnak ide. Talán én is. Huh, nagyon átmentem filozófikusba, inkább folytatom a munkát.

-Szerbusz Neon!
-Ki vagy te?
-A nevem Konrád Lorenc. Én vagyok a bölcsész. Én osztom az észt. Monumentális gondolataim manifesztációi, melyek mondatok formájában realizálódnak limitált mentális képességeid nem mind akceptálibilisak. Dialógusunk kontinuitása így megszakad. Nem jön létre az argumentumok szintézise.
- Mivan?

( zoli78 | 2006. 11. 23., cs – 12:47 )

lehet, hogy vannak még komoly gondok a Konquerorral, de azért a legtöbb weboldalt megjeleníti, és annyira kicsi a piaci részesedése, hogy a kutyának sem éri meg exploitokat csinálni rá (pedig biztos lehetne jópárat amekkora bughalmaz a KDE, de mit tegyek, nekem ez áll kézre).

( o_O v | 2006. 11. 23., cs – 13:29 )

Nemtom de nalam nem mukodik valamiert de ennek csak orulok :).
--
1 leszel vagy 0 élő vagy hulla!

( Lityi | 2006. 11. 23., cs – 13:40 )

Ki a fene bizza rá a jelszavait egy szoftverre? Sosem fogom megérteni az embereket...

Egyetértek. Sose bíznám rá egyetlen jelszavam se egy böngészőre, még a Mozilla/Firefox-ra se. És kollégáim rám néznek furcsán, hogy hát "miért nem, mikor tűzfal mögött vagyunk!" Letettem arról hogy elmagyarázzam nekik. Vagy én vagyok túl kockafejű, vagy nem értik az egyszerű beszédet...