Browsers geven wachtwoorden prijs

AMSTERDAM - Een kwetsbaarheid in de nieuwste versie van Firefox, 2.0, stelt kwaadwillenden in staat om op een eenvoudige manier inloggegevens voor websites te stelen. Ook Microsofts Internet Explorer 7 is niet waterdicht, maar bij die browser is de truc minder gemakkelijk.
De fout, die werd ontdekt door beveiligingsdeskundige Robert Chapin, maakt gebruik van de wachtwoordmanager in Firefox. Die vult automatisch de gebruikersnaam en het wachtwoord in in inlogschermen op eerder bezochte websites.
Sommige sites, zoals weblogs of internetfora, stellen bezoekers in gelegenheid zelf HTML-code aan de pagina toe te voegen. Kwaadwillende bezoekers kunnen dan een vals inlogschermpje maken, waarin Firefox automatisch een eerder op diezelfde site gebruikt wachtwoord invult. De methode werd op een pagina bij de populaire profielensite Myspace al 'in het wild' ontdekt.
De methode is gevaarlijker dan de gangbare truc om wachtwoorden te stelen. Daarbij wordt doorgaans een legitieme website nagemaakt, of bevindt het inlogschermpje zich op een andere server, iets wat beveilingssoftware of oplettende gebruikers gemakkelijker opmerken. Bij deze truc bevindt het inlogvenster zich echter daadwerkelijk op een legitieme site.
Internet Explorer is minder gevoelig voor de kwetsbaarheid dan Firefox, omdat de browser niet standaard bekende wachtwoorden invult. Mozilla, de organisatie achter Firefox, werkt aan een update die het probleem moet oplossen. Tot die tijd adviseren beveiligingsdeskundigen het automatisch invullen van wachtwoorden uit te schakelen.
(Bron)