Un sito web di sondaggi visualizzato in Firefox può indurre l'utente a inviare password memorizzate?

3

Firefox memorizza le password (io sono non riferendosi alla funzione della password master) e vorrei sapere se un sito web di sondaggi può rubare quelle password.

Stavo digitando un URL e forse l'ho scritto male e sono finito su uno strano sito web che voleva che l'utente effettuasse un sondaggio per un premio. Ha mostrato una finestra di dialogo (che si trova sopra la normale scheda attualmente attiva di Firefox) nel mezzo dello schermo che dice qualcosa in quanto "Utente FB sono invitato a fare un sondaggio sui social network". Non sono un utente FB quindi questo era ovviamente un sito malevolo. La formulazione della finestra di dialogo era confusa in modo che un utente intento a rifiutare l'offerta farebbe clic sui pulsanti che sembravano richiamare un'altra finestra di dialogo con un pulsante per tornare alla prima finestra di dialogo. Non è stato possibile uscire dalla finestra di dialogo al primo tentativo. Una volta che la finestra di dialogo è stata chiusa, la scheda del browser stessa non era utilizzabile. Ho risposto a circa 3 domande prima che potessi chiudere la scheda del browser. (Penso che le domande fossero: il tuo genere? Quanti siti di social network usi? La tua età?).

Il sondaggio era sotto forma di forse un pulsante di comando per avviare il sondaggio e quindi "auto-inserisci" i pulsanti di opzione per le 3 domande. Il sondaggio è stato presentato nella parte normale di un browser Firefox, non in una finestra di dialogo in primo piano. Sia la normale scheda di Firefox che la finestra di dialogo sembravano utilizzare un motivo dall'aspetto abbastanza standard per Ubuntu / Firefox (non so da dove vengono prese le impostazioni dell'aspetto: OS, app o combinazione) ma non sono completamente sicuro da quando Ubuntu con il Il desktop Gnome per i miei occhi non sembra così caratteristico e difficile / difficile da falsificare come, ad esempio Windows 7. In altre parole, penso che la finestra di dialogo sembrava essere implementata in un modo standard, ma ovviamente non era completamente standard in quanto non uscire. La scheda del browser di cui sono meno certo, perché la grafica può essere fatta per ingannare.

In concomitanza con questa scheda del browser, sono stato collegato a gmail e stackoverflow.

Sono su Firefox 3.6.20 e Ubuntu 10.10.

    
posta H2ONaCl 01.09.2011 - 08:03
fonte

2 risposte

4

Quindi il modo in cui funzionano le password salvate è che la password che memorizzi è associata a un dominio specifico in cui hai inserito manualmente la password, e quindi hai scelto di salvarlo per uso futuro.

Quindi, se scelgo di salvare una password per https://login.example.com , e questa è l'unica password che abbia mai salvato, non verrà popolata automaticamente su alcun dominio o protocollo diverso da https://login.example.com . Non per http://login.example.com (non protetto) o https://www.example.com , e certamente non per qualche dominio dannoso casuale che sta tentando di emulare l'interfaccia utente dell'accesso autentico nel tentativo di indurti a inserire le tue credenziali.

è il potenziale di attacchi se gli utenti malintenzionati riescono a capire come inserire campi modulo nelle pagine che sono servite da un dominio in cui hai scelto di salvare le credenziali e credo che ci sia stato un exploit in-the-wild basato su questo approccio su MySpace alcuni anni fa, ma non sono a conoscenza di alcun rischio attualmente noto di salvare le password da domini di terze parti malevoli.

    
risposta data 08.11.2011 - 20:15
fonte
-2

Io non la penso così Penso che le tue password siano al sicuro.

    
risposta data 01.09.2011 - 21:49
fonte

Leggi altre domande sui tag