Брешь, обнаруженная в браузере Firefox, позволяет похищать пользовательскую информацию на сайтах, подобных MySpace.com, которые предоставляют пользователям возможность создания собственных страниц.
Соответствующая ошибка присутствует в модуле Password Manager браузера. Чтобы нападение сработало, у атакующего должна быть возможность создания HTML-форм на сайте, что допускается сайтами Web-дневников и социальных сетей.
В конце октября злоумышленниками, воспользовавшимися уязвимостью, была создана учетная запись на MySpace под названием login_home_index_html, соответствующая которой страница была замаскирована под страницу захода на сайт, куда пользователи MySpace заманивались путем фишинга. После ввода имени и пароля они передавались атакующим.
Разработчики Firefox оценивают ошибку как весьма критическую: Password Manager не следит за тем, чтобы пароль отправлялся на запрашивающий его сервер.
Как отмечают специалисты, аналогичной уязвимости подвержен Internet Explorer, который тоже не проверяет сервер, на который отправляются введенные регистрационные данные.
ждём первых заплаток?
Ну завтра-послезавтра думаю в "ночных" сборках поправят 
плюс широкая огласка данной уязвимости ещё больше приближает сроки выхода 2.0.0.1 так что можно и радоваться 
ошибка присутствует в модуле Password Manager браузера
Вот поэтому я НИКОГДА не и НИГДЕ не пользуюсь подобными фичами
Modex
будет ли MAR-обновление?
в лом качать полную версию, хотя стоит определённо....
shutnik
Будет но не факт, что все смогут обновиться Mar-файлом такова жизнь хотя кто знает, может уже отточили до той степени, что обновление пройдёт успешно у большинства 
P.S.: Если ты ещё не понял, то можешь уже начинать качать полную версию 
потом опять FTP-сервера пороняют...
Modex
хм, намекаешь, что билд 2.0.0.1 уже вышел?
Modex
хм, намекаешь, что билд 2.0.0.1 уже вышел?
У меня Bon Echo автоматом обновилося до pre2.0.0.1.
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Странно, что не написали, что это уязвимость не только FF, но и IE6/7.
А у оперы:
"* They'll worry about semi-phishing against Opera users, assuming Opera's only defense is requiring a click on the "wand" button."
В общем, виновны все по чуть-чуть, но досталось только одному FF.
shutnik
Можешь скачать preбилд как это уже посоветовали... или просто последнюю "ночнушку" (если не боишься)
Modex
Ну завтра-послезавтра думаю в "ночных" сборках поправят
А ты оптимист.
Unghost
Ну всегда надо стремиться к лучшему что такого что ждать придётся 2.0.0.1, а то и вообще 2.0.0.2
Любители Firefox, можете бросить в меня камень, но у браузера Opera никогда таких дыр не обнаруживали. Да и подглючивает Опера меньше, и визуально ускоряет загрузку страниц. Так что я за Оперу!))
fsLeg
оперой не пользовался, но вот буквально неделю назад поставил самую последнюю версию, типа поглядеть что есть это...
более ужасного браузера я и представить не мог... удобства - ноль...
снёс в тот же день...
Таких дыр никогда не обнаруживали потому, что Оперу почти в несколько раз (на порядок) меньше народа юзает...
Любители Firefox, можете бросить в меня камень,
Бросать не будем, ибо уже надоело в сотый раз растолковывать непонятливым подобные замечания.... в особенности, причины, по которым они возникают... 
Таких дыр никогда не обнаруживали потому, что..
... и еще потому, что она не ОупенСорс
удобства - ноль...
Ну... я бы не стал так категорично говорить про Оперу... конечно, она не идеальна, но в любом случае гораздо лучше детища M$... но хуже, чем ФФ 
ибо там нет того, что мне нужно.
В опере есть пара моментов ради которых я ее юзаю иногда ) как плагин к любимой лисе ))
При верстке HTML те ошибки которые глотают ФФ и ИЕ , Опера показывает крупным планом)) ну и ролики с YouTube Оперой цеплять одно удовольствие, в остальном только Лиса )
Grey2k а я фоксом цепляю легко и просто
А что на счет SeaMonkey? Она подвержена данной уязвимости с менеджером паролей? Или дыра относится только к FF?
похоже эта дырка есть у и опера, и ие, и фокс 
внедрение произвольной формы в сайт - это вопрос безопасности портала
браузеры тут ни при чём
надо бы проверить, что гмыло делает
будет ли форму отображать в хтмл письме, не заблокирует ли
если заблокирует, значит светлые головы есть
билд 2.0.0.1 вышел )
правда только английский пока )
shutnik
Тогда обрадую тебя тем, что баг ещё не пофиксен хотя уже первый патч есть... видать чем-то их не устроил
может кто то внесёт ясность по поводу уязвимости
вон гмыло присоединённые формы открывает, но перед отправкой предупреждает, что данные отправятся на другой домен
Прошу прощения за дезинформацию Unghost просвятил, что патч всё-таки принят был и в 2.0.0.1 уязвимость уже закрыта это всё для ветки 1.5.х не сделают
ну и где же патч 2.0.0.1? почему до сих пор не обновилось? уязвимость то есть... 
имхо в любом случае пользоваться менеджером паролей небезопасно. вне зависимости от того, есть ли в нем уязвимости или нет. я вот никогда его не использовал.
не привык везде всегда пароли вручную вбивать.
dancemaster
ну и где же патч 2.0.0.1? почему до сих пор не обновилось? уязвимость то есть...
Выход Fx 1.5.0.9/2.0.0.1 / Tb 1.5.0.9 запланирован на 14.12
Пит Бэнкман
может ты мне расскажешь, что это за уязвимость такая, что никто не знает
в чём она?
в том что форму можно внедрить на целевой сайт, а фокс заполнит поля и не скажет об этом?
https://bugzilla.mozilla.org/show_bug.c … 60493#c238
Не уверен до конца, что они сделали - опцию оставили, или совсем убрали все изменения (т.е. баг (багзилльный) не исправлен). В пятницу решали, что с патчем делать.
может ты мне расскажешь, что это за уязвимость такая, что никто не знает
Дело не в ФФ конкретно, а в том, что я не хочу еще в одном каком-то месте оставлять свои пароли. Лучше их держать в уме.
просто характеризовать надо не как уязвимость, а как недостаток общей модели безопасности
причём надо разграничить, кто за что отвечает
а то может быть владельцы ресурсов пароль открытым текстом выложат и скажут что вводился через фокс
а по имеющимся сведениям и личным догадкам стоял и буду стоять на том, что это бока соответствующего портала позволяющего что попало, в конце то концов пароли пропадают не какие попало, а именно егойные
просто характеризовать надо не как уязвимость, а как недостаток общей модели безопасности
Вот именно. Когда удобство в некоторой мере противопоставляется безопасности, я отказываюсь от такого удобства.
И еще: "невозможно украсть то, чего нет". Если браузеру не будут известны пароли, то и изъять эту инфу из него никак не получится. Причем даже если техническая возможность для такого изъятия есть. Как пример - текущая ситуация, обсуждаемая в данной теме. На меня этот баг совершенно никак не повлиял. Что есть он, что его нет - мне в некоторой степени все равно
Но лучше, конечно, чтобы он был устранён.
Пит Бэнкман
ну вот внедрят такую форму, а ты полезешь её заполнять
или всё же не полезешь?
будешь код рыть? смотреть что на какой портал отправляется?
это сомнительно, так и без автозаполнения пароли можно украсть и без жабаскрипта
другое дело что с этим паролей можно украсть больше
ЗЫ невозможно украсть пароль, внедрив форму, если форму внедрить нельзя
Punk_UnDead пароль можно украсть в десятках других случаев Но если не оставлять его в браузере, то на одну такую возможность будет меньше.