Seit Version 2.0.0.5 verfügt der Open-Source-Webbrowser Firefox über eine Sicherheitsfunktion, die es Angreifern erschweren soll, mittels JavaScript Cookies bestimmter Seiten zu kopieren und sich damit unter falscher Flagge anzumelden. So genannte HttpOnly-Cookies lassen sich nicht mehr durch JavaScript auslesen, sodass beispielsweise Cross-Site-Scripting-Attacken, die die JavaScript-Methode document.cookie nutzen, nicht mehr funktionieren.
Leider lässt sich diese Sicherheitsfunktion mit Tricks aushebeln, die Amit Klein zwar bereits Anfang 2003 in einem Posting auf Bugtraq beschrieben hat, die aber erst jetzt auf breiteres Interesse stoßen.
http://www.heise.de/newsticker/meldung/93178
Neue Sicherheitsfunktion von Firefox ausgehebelt
Und hier kann gleich getestet werden :
Firefox, if allowed, can store usernames and passwords. If you visit a login page again, the password is then entered automatically. But this means, that a second, evil page on the same server could steal those saved passwords.
Räusper.......... gottseidank speicher ich keine wichtigen, also wenn hier mal Blödsinn steht, war das jemand anderes .........
http://www.heise-security.co.uk/service ... ass1.shtml
Firefox, if allowed, can store usernames and passwords. If you visit a login page again, the password is then entered automatically. But this means, that a second, evil page on the same server could steal those saved passwords.
Räusper.......... gottseidank speicher ich keine wichtigen, also wenn hier mal Blödsinn steht, war das jemand anderes .........
http://www.heise-security.co.uk/service ... ass1.shtml
