| MozTW 討論區 https://forum.moztw.org/ |
|
| [注意] Firefox Cookie 安全漏洞 (Null 字元 “\x00″) https://forum.moztw.org/viewtopic.php?f=2&t=17659 |
第 1 頁 (共 1 頁) |
| 發表人: | dora2002 [ 2007-02-16, 18:28 ] |
| 文章主題 : | [注意] Firefox Cookie 安全漏洞 (Null 字元 “\x00″) |
Firefox Cookie 安全漏洞 (Null 字元 “\x00″) 原文 : 大砲開講 引言回覆: Firefox 對 DOM (Document Object Model) 屬性 “location.hostname” 處理不當,使得攻擊者有機會取得使用者含有機密資料的 Cookie 檔案。
此漏洞的關鍵在於 Null 字元 (”\x00″)。當攻擊者將惡意網站的 “location.hostname”設為 “attackersite.com\x00trustedsite.com”,Firefox 會認為是 “trustedsite.com”,而將使用者的 cookie 檔案送到 “attackersite.com”。 受影響版本:2.0.0.1 或其他 (未測試過) 被逼到把 NoScript 給裝了回去... |
|
| 發表人: | wini [ 2007-02-17, 01:56 ] |
| 文章主題 : | |
這個網站有提到暫時的解決法 Firefox 2.0.0.1 安全漏洞 at Gea-Suan Lin’s BLOG 引言回覆: 在 mozilla links 上提供一個暫時性的解法,基本原理是禁止網站修改 location.hostname,方法是在 about:config 裡加入 String,設定 capability.policy.default.Location.hostname.set = “noAccess” 後重新啟動 Firefox。
|
|
| 發表人: | 訪客 [ 2007-02-21, 19:13 ] |
| 文章主題 : | |
wini 寫: 這個網站有提到暫時的解決法
謝謝 , 有沒有給 1.5.0.x 的 ? |
|
| 發表人: | wini [ 2007-02-21, 20:14 ] |
| 文章主題 : | |
Apply 寫: wini 寫: 這個網站有提到暫時的解決法 謝謝 , 有沒有給 1.5.0.x 的 ? 我猜應該用同樣方法也行吧,我現在全都升上 2.0.0.1 了,不太清楚。(或者該說 1.5.0.x 有沒有這種漏洞也不清楚) 另外,這在輸入完成後,只會出現在設定檔資料夾底下的 prefs.js 中,不會出現在 about:config 中,要注意一下。 |
|
| 發表人: | roytam1 [ 2007-02-21, 22:57 ] |
| 文章主題 : | |
Apply 寫: wini 寫: 這個網站有提到暫時的解決法 謝謝 , 有沒有給 1.5.0.x 的 ? |
|
| 發表人: | cless [ 2007-02-22, 01:05 ] |
| 文章主題 : | |
wini 寫: 這個網站有提到暫時的解決法
Firefox 2.0.0.1 安全漏洞 at Gea-Suan Lin’s BLOG 引言回覆: 在 mozilla links 上提供一個暫時性的解法,基本原理是禁止網站修改 location.hostname,方法是在 about:config 裡加入 String,設定 capability.policy.default.Location.hostname.set = “noAccess” 後重新啟動 Firefox。 我設定好後發覺在錯誤主控台出現錯誤: uncaught exception: P ³åÖ property Location.hostname 請問這是正常嗎? |
|
| 第 1 頁 (共 1 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|