MozTW 討論區

各項 Mozilla 相關軟體與技術討論
現在的時間是 2025-08-07, 06:54

檢視沒有回覆的主題 | 檢視最近討論的主題


MozTW » 討論區首頁 » Mozilla 系列軟體 » Firefox

所有顯示的時間為 UTC + 8 小時





發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 6 篇文章 ] 
  列印模式 上一個主題 | 下一個主題 
發表人 內容
dora2002
文章發表於 : 2007-02-16, 18:28 
離線
頭像

註冊時間: 2006-04-08, 15:10
文章: 2699
來自: 臺北縣隔壁
Firefox Cookie 安全漏洞 (Null 字元 “\x00″)

原文 : 大砲開講

引言回覆:
Firefox 對 DOM (Document Object Model) 屬性 “location.hostname” 處理不當,使得攻擊者有機會取得使用者含有機密資料的 Cookie 檔案。

此漏洞的關鍵在於 Null 字元 (”\x00″)。當攻擊者將惡意網站的 “location.hostname”設為 “attackersite.com\x00trustedsite.com”,Firefox 會認為是 “trustedsite.com”,而將使用者的 cookie 檔案送到 “attackersite.com”。

受影響版本:2.0.0.1 或其他 (未測試過)


被逼到把 NoScript 給裝了回去...
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.9) Gecko/20061206 Firefox/1.5.0.9
 個人資料  
引用回覆  
wini
 文章主題 :
文章發表於 : 2007-02-17, 01:56 
離線
[網站管理員]

註冊時間: 2005-01-02, 05:49
文章: 3220
這個網站有提到暫時的解決法

Firefox 2.0.0.1 安全漏洞 at Gea-Suan Lin’s BLOG

引言回覆:
在 mozilla links 上提供一個暫時性的解法,基本原理是禁止網站修改 location.hostname,方法是在 about:config 裡加入 String,設定 capability.policy.default.Location.hostname.set = “noAccess” 後重新啟動 Firefox。

_________________
【Firefox 有問題請先看這裡】
回覆文章的建議
萬用自我檢測除錯大法 for Firefox
完全備份大法 for Firefox
重建 Firefox 的設定
乾淨升級 Firefox
(本帳號停用中)
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.9) Gecko/20061206 Firefox/1.5.0.9
 個人資料  
引用回覆  
訪客
 文章主題 :
文章發表於 : 2007-02-21, 19:13 
wini 寫:
這個網站有提到暫時的解決法


謝謝 , 有沒有給 1.5.0.x 的 ?
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.6) Gecko/20060811 Firefox/1.5.0.6
  
引用回覆  
wini
 文章主題 :
文章發表於 : 2007-02-21, 20:14 
離線
[網站管理員]

註冊時間: 2005-01-02, 05:49
文章: 3220
Apply 寫:
wini 寫:
這個網站有提到暫時的解決法

謝謝 , 有沒有給 1.5.0.x 的 ?

我猜應該用同樣方法也行吧,我現在全都升上 2.0.0.1 了,不太清楚。(或者該說 1.5.0.x 有沒有這種漏洞也不清楚)

另外,這在輸入完成後,只會出現在設定檔資料夾底下的 prefs.js 中,不會出現在 about:config 中,要注意一下。

_________________
【Firefox 有問題請先看這裡】
回覆文章的建議
萬用自我檢測除錯大法 for Firefox
完全備份大法 for Firefox
重建 Firefox 的設定
乾淨升級 Firefox
(本帳號停用中)
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
 個人資料  
引用回覆  
roytam1
 文章主題 :
文章發表於 : 2007-02-21, 22:57 
離線
[社群版本維護者]

註冊時間: 2004-11-28, 17:21
文章: 856
Apply 寫:
wini 寫:
這個網站有提到暫時的解決法


謝謝 , 有沒有給 1.5.0.x 的 ?
1.5.0.10會修正這問題。

_________________
I am the bone of my firefox.

Source is my body, and library is my blood.

I've created over a thousand of builds.

Unaware of notice.
Nor aware of warning.

With stood pain to create binaries.
Waiting for one's download.

I have no regrets. This is the only path.

My whole life was "Unlimited build works"

「只有宗教狂熱分子和極權主義國家才將道德等同於法制。」 Linus Torvalds寫道。
我的廢棄日記
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.10pre) Gecko/20070206 Firefox/1.5.0.10pre (Firefox musume)
 個人資料  
引用回覆  
cless
 文章主題 :
文章發表於 : 2007-02-22, 01:05 
離線

註冊時間: 2007-02-20, 10:39
文章: 28
wini 寫:
這個網站有提到暫時的解決法

Firefox 2.0.0.1 安全漏洞 at Gea-Suan Lin’s BLOG

引言回覆:
在 mozilla links 上提供一個暫時性的解法,基本原理是禁止網站修改 location.hostname,方法是在 about:config 裡加入 String,設定 capability.policy.default.Location.hostname.set = “noAccess” 後重新啟動 Firefox。


我設定好後發覺在錯誤主控台出現錯誤: uncaught exception: P
³å€Ö property Location.hostname

請問這是正常嗎?
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
 個人資料  
引用回覆  
顯示文章 :  排序  
發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 6 篇文章 ] 

MozTW » 討論區首頁 » Mozilla 系列軟體 » Firefox

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 41 位訪客

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

搜尋:
前往 :  
Powered by phpBB® Forum Software © phpBB Group
正體中文語系由 竹貓星球 維護製作
© moztw.org, Mozilla Foundation
MozTW,Mozilla 台灣社群