Password Manager-nya FF berlobang, lhoo..

Salah satu fitur Mozilla Firefox yang paling saya sukai adalah password manager. Dengan adanya fasilitas ini saya tidak perlu mengingat-ingat password dari berbagai layanan di internet selama saya masih menggunakan komputer yang sama. Selama ini saya yakin bahwa fitur ini aman karena komputer di kantor hanya saya yang menggunakan. Orang lain tidak pernah ikut campur menggunakan komputer saya.

Ternyata, keyakinan saya hari ini terpatahkan. Situs p2pnet.net melaporakn bahwa fitur password manager itu rentan terhadap penyadapan password yang disebut sebagai Reverse Cross-Site Request (RCSR). Halah, apa pula itu?

Kelemahan Firefox ini bisa menyebabkan password yang tersimpan bisa dengan mudah dimunculkan. Password manager di FF itu bisa digunakan untuk mengirimkan username dan password ke komputer penyerang tanpa sepengetahuan kita.

Nah, kalau mau lihat contohnya bagaimana hal ini bisa terjadi, lihat saja demonya di halaman ini. Di situ, silakan masukkan username dan password. Tapi, hati-hati. Masukkan username dan password bohongan saja. Kemudian akan muncul jendela password manager. Klik save dan kunjungi halaman berikutnya. Di situ muncul sebuah video yang berasal dari YouTube. Klik pada bagian video itu dan sebuah hasil pencarian Google akan terbuka. Cermati URL-nya. Jangan kaget kalau username dan password yang Anda masukkan tadi ada di URL itu. Wah, bahaya!

Untunglah Mozilla sudah menyadari adanya lobang ini dan mereka sedang berusaha untuk menambalnya.