PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitsproblem im Firefox 1.0.6


Schwarzer'Engel
28.08.05, 20:21
Hi,

ich habe gerade eine Sicherheitslücke im Firefox 1.0.6 entdeckt. Und zwar war meine Freundin bei Ebay eingeloggt, mit ihrem ebay-Account und ihrem Passwort. Sie klickte dann auf "Mein Ebay" und plötzlich war sie mit meinem Account drin. Das hat mich verwundert, denn ich speichere generell keine Passwörter mit Firefox. Sie hat sich dann ausgeloggt und wieder mit ihrem account eingeloggt.

Was mich aber noch mehr schockierte ist die Tatsache, das sie mit meinem Account ohne mein Passwort zu kennen einen Artikel ersteigern konnte!

Wie gesagt, ich speicher meine Passwörter für Websiten nicht im Firefox, spätestens bei der Gebotsabgabe hätte hier doch durch e-bay eine weitere Passwortabfrage erscheinen müssen?!

Hat jemand sowas schon erlebt ?

Gruß
Chris
bert2002
28.08.05, 20:28
Hattest du dich ordentlich ausgelogt?
Weil, wenn nicht läuft deine Session ja weiter!

MfG bert2002
Schwarzer'Engel
28.08.05, 20:35
Ja, hatte ich.
Russel-Athletic
28.08.05, 21:10
Ich würd tippen da ist was im Zusammenhang mit Cookies am laufen. Wenn ja, dann ist das kaum ein Fehler von Firefox.
obzidian
28.08.05, 21:36
Klingt eher nach entweder gewolltest oder ungewolltes "Ich möchte automatisch eingelogt werden". Problem oder eben nicht von ebay.de
Schwarzer'Engel
29.08.05, 13:17
Aber da ich mein ebay-Passwort nicht gespeichert habe sollte doch soetwas eigentlich nicht passieren, zumal ich mich vorher richtig bei ebay ausgeloggt habe. Cookies hin oder her...

Christian
Henni
29.08.05, 13:22
Interessant wäre in diesem Zusammenhang gewesen, ob sie wirklich etwas mit deinem Account tun hätte können. Theoretisch ist nämlich möglich, dass hier Firefox etwas aus dem Cache angezeigt hat -> Wäre sofort aufgefallen wenn sie weiterprobiert hätte.
Schwarzer'Engel
30.08.05, 16:16
Interessant wäre in diesem Zusammenhang gewesen, ob sie wirklich etwas mit deinem Account tun hätte können. Theoretisch ist nämlich möglich, dass hier Firefox etwas aus dem Cache angezeigt hat -> Wäre sofort aufgefallen wenn sie weiterprobiert hätte.

Sie hätte nicht, sie hat. Sie hat einen Artikel ersteigert und auf einen Artikel geboten, mit meinem Account. Sie hat in dieser Situation nicht darauf geachtet ob es ihr oder mein Account war. Mir ist es aufgefallen als ich die Bestätigungsemail von ebay bekam, da sie mit meinem Account den Artikel ersteigert hat.

Ich find das krass. Okay, hab ich halt einen Bewertungspunkt mehr. Aber abgesehen davon darf sowas nicht passieren.

Chris
Henni
30.08.05, 16:40
Dann würde ich so schnell wie möglich einen Bug Report an die Mozilla Foundation schicken. Es dürfte bisher noch nicht bei vielen vorgekommen sein weswegen es wichtig wäre diesen Bug zu melden.