Copyright © 1998-2025 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2025 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Me se to jevi takto - ta stranka, ktera "ukradne to heslo" musi byt na stejnem serveru, pro ktery to heslo chcete krast, coz absolutne postrada jakoukoliv hrozbu, protoze kdyby autor toho serveru chtel znat vase heslo, tak si ho ulozi rovnou pri registraci jako plaintext a je vystarano... Podle me tento skript, pouze prevede "hvezdicky" na "text" ...
Krasny priklad toho, ako s rastucou popularitou SW pribuda aj pocet najdenych chyb. Ked sa FF dostane na 50% tak sa mozno ukaze, ze v MS nie su az taky trotli a IE nebol najderavejsi prehliadac, ale to je zatial velmi vzdialena buducnost.
[auslach] .... presne jak jsem onehda rikal ... viz sypani popela na hlavu :-))
Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0 zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.
Ale na rozdiel od IE ale chyby vo FF sú urýchlene opravené.
RTF: Souhlas, ja bych to nenazval bug, ale spis feature. Kazdopadne utocnikova stranka (formular) musi byt na stejnem serveru jako puvodni formular, u ktereho uzivatel zadal heslo a nechal si ho ulozit do FF.
Oprava : Ale na rozdiel od IE sú chyby vo FF urýchlene odstránené.
to ASD
To je typicky Microsoftí FUD. Vzdyt prece v opensource je take hromada chyb. Nekdy dokonce vice!
ANO, to je pravda. Jenze problem je, ze je uplne jedno kolik ma ten SW chyb. Dulezite je, jak rychle se opravuji. A chyby v opensource SW byvaji opraveny v dobe radu hodin. v Microsoft produktech to trva dobu v radech mesicu, nekdy let a nekdy se nezaplatuje pro jistotu vubec!
ASD uz teraz ma FF2 tolko chyb ako IE7, dokonca 3x viacej ako IE7 na Viste. ;)
To:ASD
Uz by mne neco chybelo, kdyby se pod podobnymi zpravami neobjevovaly tyto blaboly MS-fans :-)
Jen tak naokraj si vzpomenme, jak dlouho MS trva odstraneni napr, odstraneni zavaznych bezpecnostnich chyb v MSIE :-)
RTF, Arcao: na stejnym serveru? domene? subdomene...? Je spousta freehostingu, blogu a ja nevim ceho jeste, ktery maji stranky pod stejnou domenou, o stejnym serveru nemluve...
Zdar FAVaci ;) - hesla ve FF se ovsem ukladaji pro subdomenu zvlast, takze na jine se nezobrazi, a tato hracicka nefunguje a plati to i pro casti za lomitkem...
Heslo v pwd manageru je ulzeno ve tvrau prefix.domena.zeme/dokument/ a nikde jinde se nezobrazi ...
El-Condor, mm2klokan
Kde presne som pisal nieco o rychlosti oprav? Moj nazor je taky, ze pomalost oprav u MS nie je chybou programatorov, ale vedenia. OpenSource ma hlavnu vyhodu v tom, ze tam chyba prehnity birokraticky aparat. Mne islo len o to pokazat, ze chyby sa nachadzaju ovela rychlejsie ak dany SW pouziva 20-25% ako ked ho pouziva 1%.
PS: Kde berete, ze som daky MS fan. Pracujem na linuxe. A sukromne pozivam len jeden produkt od MS a to WinXP. Aj ked som uz skusal prejst na linux, tak som na koniec zostal na Win pretoze rozbiehat niektore veci na linuxe je fakt na dlsie, nehovoriac o tom ze sem-tam sa aj rad zahram. A sedenia pri PC mi staci v praci, vo svojom volne s snazim co najviac casu travit daleko od PC a ked uz zan sadnem tak sa mi nechce travit cas hladanim rieseni.
zase někdo kecá .... rozhodně to po aktualizaci na 2.0.0.6 nezobrazí usera a heslo .... teď jsem to několikrát zkoušel a ani jméno a ani heslo tam není
@Lord Helma: a si si isty, ze si po vyplneni POTVRDIL zapamatanie & ulozenie udajov do FF? Pretoze mne to heslo ukazalo, cize ta chyba je aj vo 2.0.0.6 :(
2kypec - tak nevím jestli se mám urazit nebo se tomu smát ... prostě heslo není. A jsi si opravdu jistý, že máš 2.0.0.6 ? :-)
ano, som si uplne isty, ze mam 2.0.0.6, hned rano mi prebehol update
(ano, restartoval som ho tiez)
a neni to vlastně fuk?
Je úplně jedno, že tam chyba byla. Podstatné je, že byla promptně odhalená a záplatovaná...
BTW neni to spis feature, ze si FF zapamatuje heslo a da ho kterekoli strance na danem serveru, ktera si o nej pozada?
OK exoti, a preco vlastne povolujete Firefoxu, aby ukladal vase hesla - jedine miesto, kde je heslo bezpecne ulozene je vlastna hlava - teda, dajme tomu :-). A este je tu biometria - predsa len, prist o ukazovak je trochu komplikovanejsie, ako zabudnut heslo - ale vlastne aj tu plati, ako u koho :-))
Lord Helma: Hm. A to mas zaply i JavaScript? Divne.
V 2.0.0.6 to opravdu jede, ale pokuď používáte lockout přes masterpassword, tak po lockoutu při přechodu na EvilPage to chce mastepassword, takže krádež se koná jen s vaším souhlasem. A taky si myslím (ale nemohu to potvrdit), že je krádež hesla možná jenom ve stejné doméně... Když tak mě opravte.
randy: nonexote, třeba takové heslo co mám na cdr.cz apod. nepovažuju za důležité a kvůli pohodlí si ho uložím. Samozřejmě, že třeba takový účet google (gmail, adsense, atd..) a nebo internetové bankovnictví neukládám...
randy: A proc ne?
to happymaster23: Heslo k cdr.cz nepovazujes za dolezite? To potesilo webmastera :-))
randy: :D Tak maximálně by se někdo lognul pod mým nickem a napsal by, že fandím AMD.
...když nad tím tak přemýšlím, to by byla taky tragédie :-))
A co takhle nainstalovat noscript? Funguje to tak, že standartně jsou javascript, flash, java a také zásuvné moduly vypnuté, ručně jejich používání povolíte pouze na důvěryhodných stránkách. A neštvou Vás vyskakující okna, vlezlá flash reklama a zlomyslné skripty všeho druhu. :-))
Tato diskuze je nyní společná i pro článek Thunderbird 2.0.0.6.
Tato diskuze byla založena k článku Firefox 2.0.0.6, stále s vážnou trhlinou.
Firefox vyplní heslo jen na stránkách stejné domény. Chyba je na straně serveru, když si tam nechá od někoho vložit javascript. To už je jako XSS. Řešením by bylo udělat input password políčka pouze k zápisu.
Tato diskuze je nyní společná i pro článek SeaMonkey 1.1.4.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.