Si vous utilisez les fonctions de saisie semi-automatique dans Safari, certaines versions de IE, Firefox, ou Chrome, vous pourriez être faire vous-même vulnérable au vol d'identité et autres attaques, selon un chercheur en sécurité prendra la parole lors de la conférence Black Hat semaine prochaine. White Hat Security CTO Jeremiah Grossman dit que les quatre principaux navigateurs ont des faiblesses critiques qui doivent encore être traitées par leurs sociétés respectives, et pourraient exposer les mots de passe des utilisateurs, les adresses e-mail, et plus pour les attaquants.
Grossman prévoit de faire la démonstration d'une attaque preuve de concept lors de la conférence de la semaine prochaine. Comme la plupart d'entre nous le savent, si vous avez saisie semi-automatique activée dans de nombreux navigateurs, il vous suffit de commencer à taper une lettre ou deux dans l'un des champs avant qu'ils tous les remplir avec votre nom et adresse, éventuellement votre numéro de carte de crédit, et plus .
Grossman dit les attaquants pourront simplement créer une page avec des champs de formulaire cachés qui utilisent JavaScript pour saisir des lettres et des chiffres dans chaque champ jusqu'à ce qu'il en trouve un qui est un succès, et le navigateur autocompletes il.
Les utilisateurs ne doivent même entrer une seule lettre pour que l'attaque fonctionne-tout ce qu'ils ont à faire est de charger la page, et ils auraient probablement même pas être au courant de ce qui se passe.
Selon Grossman, l'auto-complétion exploiter des œuvres dans les deux la plupart des versions récentes de Safari (4 et 5), ainsi que IE 6 et 7. Firefox et Chrome ne sont pas sensibles à cette attaque particulière, si elles étaient vulnérables à l'autre: Grossman dit que les deux navigateurs peuvent exposer les noms d'utilisateur et stockées les mots de passe pour les sites enregistrés, ce qui rend possible pour une vulnérabilité cross-site scripting pour saisir l'info quand un utilisateur se connecte à un compte Google ou Facebook, par exemple.
La raison pour laquelle il prévoit d'exposer ces vulnérabilités au Black Hat est parce que les entreprises en question ont apparemment pas répondu aux tentatives de Grossman de communiquer avec eux à ce sujet. «Je ne l'aurais jamais parlé publiquement si Apple avait pris cela au sérieux", a déclaré Grossman The Register. «Je pensais que quelqu'un d'autre doit avoir trouvé cela avant parce qu'il est tellement mo