מוזילה: “הפרצה” בפיירפוקס אינה מאיימת על אף אחד

פרצת אבטחה או בעייתיות פונקציונאלית? חור אבטחה בפיירפוקס עשוי לספק לנוכלי פישינג שיטה נוספת ללכידת קורבנות ברשתם. במוזילה טוענים שמדובר באזעקת שווא

דיווחים רבים צצו השבוע על חור אבטחה חדש בפיירפוקס שעלול לאפשר לנוכלי פישינג (דיוג) לרמות ולגנוב סיסמאות ממשתמשים ברשת.

מדובר בישום חדש של שיטת פישינג ישנה שכבר נבלמה על ידי פיירפוקס, בה הנוכל מנסה לפתות את המשתמש אל אתר מזוייף על ידי טשטוש הכתובת האמיתית של האתר שהמשתמש מופנה אליו על ידי הכנסת כתובת של אתר לגיטימי לאיזור שם המשתמש בקישור לאתר.

לדוגמה, במידה והאתר של הנוכל נמצא בכתובת fakewebsite.com, הקישור יופיע בתור www.google.com@fakewebsite.com – דבר שיגרום למשתמש הממוצע להניח שמדובר בקישור אל גוגל, בעוד שבעצם מדובר בקישור אל fakewebsite עם הכתובת של גוגל בשדה שם המשתמש.

בפיירפוקס פתרו את הבעיה על ידי ווידוי ששם המשתמש שנמצא בכתובת אינו נראה ככתובת של אתר. במידה וכן, פיירפוקס תציג חלונית הודעה שמזהירה שכנראה מדובר בניסיון לרמות את המשתמש והדפדפן מוודא שהמשתמש מעוניין להמשיך.

שיטת ישום הפרצה החדשה שדווחה על ידי אדיטייה ק. סוד (Aditya K Sood) עובדת באותו אופן, אך במקום לפתות את המשתמש ללחוץ על הקישור היא פותחת את האתר באופן ישיר באמצעות תגית iframe באתר – מעשה שמדלג על ווידוא אמיתות הכתובת ופותחת אותה באופן ישיר בלי לשאול את המשתמש.

אדיטייה כבר דיווח על הפרצה במערכת הדיווחים של מוזילה בשביעי ליוני השנה, והחודש דיווח על כך שוב בבלוג של חברת האבטחה ארמוריז.

אבל במוזילה, ממש לא מתרגשים מהסיפור: על פי התגובה מהארגון, לא מדובר בפרצת אבטחה או בחולשה שניתן לנצל, מכיוון שהרעיון מאחורי טשטוש כתובת של אתרים הוא לפתות את המשתמש ללחוץ על קישור לאתר על ידי התחזות לאתר לגיטימי, בזמן שבשיטת ה-iframe הכתובת אינה נראת למשתמש אלא מוסתרת בתוך קוד המקור של האתר – כך שאין טעם לנסות להסתיר את הכתובת האמיתית.

אור בוטון

גיק וגיימר מהסוג הישן שזוכר ימים טובים יותר. תושב קבע בכפר הגלובלי של הרשת ואובססיבי לגבי טכנולוגיה, חדשנות ותרבות רשת. בעל חיבה בלתי מובנת למציאות מדומה וכל הקשור בכך.

הגב

3 תגובות על "מוזילה: “הפרצה” בפיירפוקס אינה מאיימת על אף אחד"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אלון דוד
Guest

זו כבר הכתבה השלישית פה בה אני נתקל בשגיאות הגהה.
אם היה מדובר על בלוג בתפוז הייתי מקל ראש, אבל עורך / כותב באתר שמכבד את עצמו צריך לדעת שכותבים “וידוא” (authenticate) ולא “וידוי” (confession).

אילנה ברודו
Member

היי,

השגיאה תוקנה. תודה על תשומת הלב! גם אנחנו מדי פעם מפספסים אות פה ושם. :)

סך הכל נכון
Guest

הנימוק של מוזילה דיי נכון…

wpDiscuz

תגיות לכתבה: