Seit Version 2.0.0.5 verfügt der Open-Source-Webbrowser Firefox über eine Sicherheitsfunktion, die es Angreifern erschweren soll, mittels JavaScript Cookies bestimmter Seiten zu kopieren und sich damit unter falscher Flagge anzumelden. So genannte HttpOnly-Cookies lassen sich nicht mehr durch JavaScript auslesen, sodass beispielsweise Cross-Site-Scripting-Attacken, die die JavaScript-Methode ACHTUNG ! GEFAHR ! nutzen, nicht mehr funktionieren.

Leider lässt sich diese Sicherheitsfunktion mit Tricks aushebeln, die Amit Klein zwar bereits Anfang 2003 in einem Posting auf Bugtraq beschrieben hat, die aber erst jetzt auf breiteres Interesse stoßen.

http://www.heise.de/newsticker/meldung/93178

Und hier kann gleich getestet werden :


Firefox, if allowed, can store usernames and passwords. If you visit a login page again, the password is then entered automatically. But this means, that a second, evil page on the same server could steal those saved passwords.

Räusper.......... gottseidank speicher ich keine wichtigen, also wenn hier mal Blödsinn steht, war das jemand anderes ......... :-)


http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml

... :D :D :D ;)

Das ist inzwischen ganz schön nervig. Wenn man vorm Pc neben guten Sicherheitsmaßnahmen ( ja, auch Brain 1.0 immer schön updaten ) nicht einen gewissen Fatalismus an den Tag legt, kommt man vor lauter Aufpassen zu sonst nichts mehr.