Mozilla съобщи за грешка във Firefox, която при определени условия може да се използва за кражба на данни като потребителско име и парола. Докато производителят не пусне корекция, добра идея е да приложите временно решение.
Има грешка в начина, по който мениджърът на пароли управлява паролите. Във Firefox паролата, въведена във формуляр, се запомня за целия домейн. Кражбата на данни е възможна, стига крадецът на данни да може да настрои страница в същия домейн като жертвата и е възможно например в социалните мрежи.
Атаката се състои в насочване на потребителя към страница, която просто извлича неговото име и парола от потребителя. Освен това престъпникът може да скрие полето на формуляра и тогава атаката ще бъде трудна за откриване. Като цяло този метод на атака се нарича Reverse Cross-Site Request (RCSR) и можете да прочетете повече за него на уебсайта на създателя на грешката и автор на кода за доказателство на концепцията, Робърт Чапин.
Посещавайки уебсайта с кода за доказателство на концепцията, можем да тестваме уязвимостта на нашия браузър.
Докато Mozilla не пусне корекция, ви препоръчваме да спрете да използвате мениджъра на пароли. Като алтернатива можете да използвате разширението Master Password Timeout, което ще доведе до показване на предупредителен прозорец, преди да въведете данни във формуляра.