¿Puede un sitio web de una encuesta en Firefox engañar al usuario para que envíe las contraseñas almacenadas?

3

Firefox almacena las contraseñas (no estoy refiriéndome a la función de contraseña maestra) y me gustaría saber si un sitio web de una encuesta puede robar esas contraseñas.

Estaba escribiendo una URL y tal vez la escribí mal y terminé en un sitio web extraño que quería que el usuario respondiera una encuesta para obtener un premio. Apareció un cuadro de diálogo (flotando en la parte superior de la pestaña actualmente activa de Firefox) en el centro de la pantalla y dice que, como "usuario de FB, estoy invitado a participar en una encuesta de redes sociales". No soy un usuario de FB, por lo que obviamente era un sitio web malicioso. La redacción del diálogo fue confusa, por lo que la intención de un usuario de rechazar la oferta haría clic en los botones que parecían invocar otro diálogo que tenía un botón para regresar al primer diálogo. No fue posible simplemente salir del diálogo en el primer intento. Una vez que se cierra el cuadro de diálogo, la pestaña del navegador en sí no se puede abrir. Respondí aproximadamente 3 preguntas antes de poder cerrar la pestaña del navegador. (Creo que las preguntas fueron: ¿su género? ¿Cuántos sitios de redes sociales usa? ¿Su edad?).

La encuesta tenía la forma de quizás un botón de comando para iniciar la encuesta y luego "ingresar automáticamente" los botones de radio para las 3 preguntas. La encuesta se presentó en la parte normal de un navegador Firefox, no un diálogo flotando en la parte superior. Tanto la pestaña normal de Firefox como el cuadro de diálogo parecían usar un motivo de apariencia bastante estándar para Ubuntu / Firefox (no sé de dónde se toman las configuraciones de apariencia de: SO, aplicación o combinación) pero no estoy completamente seguro ya que Ubuntu con el El escritorio de Gnome a mi ojo no parece tan distintivo y difícil de hacer, como Windows 7. En otras palabras, creo que el diálogo parecía implementarse de manera estándar, pero obviamente no era completamente estándar en lo que se podría no salir de ella Estoy menos seguro de la pestaña del navegador porque se pueden hacer gráficos para engañar.

Al mismo tiempo que esta pestaña del navegador, inicié sesión en gmail y stackoverflow.

Estoy en Firefox 3.6.20 y Ubuntu 10.10.

    
pregunta H2ONaCl 01.09.2011 - 08:03
fuente

2 respuestas

4

Entonces, la forma en que funcionan las contraseñas guardadas es que la contraseña que almacena está asociada con un dominio específico en el que ingresó la contraseña manualmente y luego la guardó para usarla en el futuro.

Entonces, si elijo guardar una contraseña para https://login.example.com , y esa es la única contraseña que he guardado, no se rellenará automáticamente en ningún dominio o protocolo que no sea https://login.example.com . No para http://login.example.com (no garantizado) o https://www.example.com , y ciertamente no para algún dominio malicioso aleatorio que esté intentando emular la IU del inicio de sesión genuino en un intento de engañarlo para que ingrese sus credenciales.

Existe es la posibilidad de ataques si los usuarios malintencionados pueden descubrir cómo inyectar campos de formulario en las páginas que son atendidas por un dominio donde ha elegido guardar las credenciales. Hace unos años, y creo que hubo un exploit in-the-wild basado en este enfoque en MySpace, pero no tengo conocimiento de ningún riesgo conocido de las contraseñas guardadas de dominios maliciosos de terceros.

    
respondido por el Xander 08.11.2011 - 20:15
fuente
-2

No lo creo. Creo que tus contraseñas son seguras.

    
respondido por el D.W. 01.09.2011 - 21:49
fuente

Lea otras preguntas en las etiquetas