2006年11月22日

Firefox 自動記住密碼功能造成的安全弱點

一個 Firefox 處理已儲存密碼的安全弱點今天公諸於世。這個弱點使 Firefox 自動填寫已儲存密碼到發送到錯誤位置的表單內。

以附加在這個相關程式臭蟲測試網頁來說,只要類似的表單在出現在同一個網站,密碼就會被自動填入。最初提交這個問題的 Robert Chapin 是在 MySpace.com (著名的社群網站)遇到這個問題的。他瀏覽了一位用戶的個人資料頁面,而該頁面裡被放了一個和 MySpace 登入表單相似的表單。因為該表單也在 MySpace 上面,Firefox 自動將密碼填入了假表單。倒是假表單一個與此弱點無關的小問題讓 Chapin 最後沒有因此成為身分冒用的受害者。

使用者必須要警覺此問題。仔細檢查已自動填入的表單且不要從網站的某些位置登入,像是討論區的文章、個人資料頁等等。

若您想要在這個問題上保持最安全的狀態,您也可以取消 Firefox 的自動記住密碼功能:

  • 工具選單,選擇選項...(譯按:在 Linux 上,選項...編輯選單裡)
  • 安全頁,取消記住每個網站的密碼的勾勾。

我檢查了其他的瀏覽器發現 SeaMonkey 1.0.6 有同樣的行為。Internet Explorer 7 並不會在假表單自動填入密碼,但如果有存過密碼它會列出來。Opera 9.02 Wand 的密碼管理工具正確的分辨了真假表單的差別且不會將填入假表單。

沒有留言:

張貼留言