Firefox: esposizione della password nell’URL

In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.

Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:

ftp://utente:segreta@mail.siamogeek.com

Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:

State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.

Una segnalazione del baco è già presente in Bugzilla.

No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento