Firefox 2.0 hilft Phishern

Bewertung:  / 0

SchwachSuper 

Natürlich unbeabsichtigt. Durch den im Firefox integrierten Password-Manager können Phisher an entsprechende Daten gelangen.
Firefox trägt, wenn der Nutzer es ihm erlaubt, Passwörter und Name automatisch in bekannte Formulare ein. Der Password-Manager macht aber noch mehr...
Das heißt, eigentlich macht er zu wenig.  Und zwar merkt sich der Password-Manager nur die zugehörige Domain zu dem zu füllenden Formular. Nicht jedoch das Unterverzeichnis oder die exakte HTML-Seite.
Das führt dazu, dass innerhalb eines Auftritts einfach eine neue (gefakte) Login-Seite eingefügt werden kann - durch diverse Sicherheitslücken in vielen Webauftritten kein Ding der Unmöglichkeit - die dann auch automatisch vom Password-Manager des Firefox gefüllt wird. Die Daten lassen sich per Javascript auch automatisiert versenden, ohne das der Benutzer, der den versuchten Betrug bemerkt, sein ok geben muss.
Einen aktuellen Fall auf MySpace.com gibt es bereits.

Siehe auch Artikel bei heise security.