Lek in browsers geeft inloggegevens vrij
Zowel FireFox als Internet Explorer hebben last van een bug waarmee wachtwoorden achterhaald kunnen worden.
Geplaatst op donderdag 23 november 2006
Beveiligingsexpert Robert Chapin heeft een serieus lek ontdekt waarmee het in zowel Internet Explorer als Firefox mogelijk is om gebruikersgegevens te 'stelen'. Chapin beschrijft hoe het mogelijk is om misbruik te maken van de wachtwoordmanager waarover beide browsers beschikken.
Veel mensen kiezen ervoor om hun wachtwoorden op te slaan op hun pc, zodat ze deze niet keer op keer opnieuw hoeven in te vullen. Microsoft Internet Explorer en Mozilla Firefox bieden beide opties aan om wachtwoorden automatisch te laten invullen.
Op diverse websites, zoals discussieforums en communities, kunnen leden zelf tekst en HTML-code aan een pagina toevoegen. Kwaadwillenden zijn op deze wijze in staat om een formulier in te bouwen dat overeenkomt met het inlogvenster waarvoor andere bezoekers hun gegevens lokaal opslaan. Als dit op de juiste wijze wordt gedaan, kunnen inloggegevens naar een derde worden verstuurd zonder dat de bezoeker dit zal merken.
De truc lijkt veel op 'phishing', waarbij argeloze bezoekers worden uitgenodigd hun gegevens in te vullen in een nagemaakte website. Deze methode is echter veel gevaarlijker, omdat de gegevens onzichtbaar door de browser zelf worden verstuurd.
Oorzaak van dit lek zijn niet de browsers, maar makers van internetprogrammatuur die hun pagina's niet voldoende beschermen tegen dit soort manipulatie. Het wachten is op een patch waarmee de browsermakers hun gebruikers beschermen.
Tot die tijd wordt afgeraden wachtwoorden op te slaan op de computer. Dit is iets wat ik overigens sowieso af zou raden. Niet alleen vanwege risico's van buitenaf. Mocht uw computer of laptop ooit gestolen worden, dan wilt u uiteraard niet dat de nieuwe eigenaar uw webmail kan lezen of zelfs toegangheeft tot uw internetbankieromgeving!
Tags: beveiliging, browser en webdesign.
Lees ook deze gerelateerde artikelen
- Betekenis en noodzaak van een groene adresbalk
- Duizenden websites getroffen door 'hacktivist'
- This account has been suspended
- "Opslag van wachtwoorden in webbrowser nog steeds onveilig"
- Ook website spoorwegen last van vertraging
- Stop de persen
Reacties bij dit artikel
Sint op donderdag 23 november 2006 om 12:40Kennelijk kijken ze alleen naar de namen van de formuliervelden, en niet waar de formulieren voor worden gebruikt. Al valt dit met JavaScript nog steeds wel te manipuleren.
Plaats je reactie bij dit artikel
Omdat dit artikel meer dan een jaar oud is, is het niet meer mogelijk om te reageren.
Dat is wel een serieus lek, damn. Ik vraag me af waar FF en IE dan precies op controleren bij een formulier.