Lobang pada FF Password Manager itu November 23, 2006
Posted by JalanSutera.com™ in Blog.trackback
Password Manager-nya FF berlobang, lhoo..
Salah satu fitur Mozilla Firefox yang paling saya sukai adalah password manager. Dengan adanya fasilitas ini saya tidak perlu mengingat-ingat password dari berbagai layanan di internet selama saya masih menggunakan komputer yang sama. Selama ini saya yakin bahwa fitur ini aman karena komputer di kantor hanya saya yang menggunakan. Orang lain tidak pernah ikut campur menggunakan komputer saya.
Ternyata, keyakinan saya hari ini terpatahkan. Situs p2pnet.net melaporakn bahwa fitur password manager itu rentan terhadap penyadapan password yang disebut sebagai Reverse Cross-Site Request (RCSR). Halah, apa pula itu?
Kelemahan Firefox ini bisa menyebabkan password yang tersimpan bisa dengan mudah dimunculkan. Password manager di FF itu bisa digunakan untuk mengirimkan username dan password ke komputer penyerang tanpa sepengetahuan kita.
Nah, kalau mau lihat contohnya bagaimana hal ini bisa terjadi, lihat saja demonya di halaman ini. Di situ, silakan masukkan username dan password. Tapi, hati-hati. Masukkan username dan password bohongan saja. Kemudian akan muncul jendela password manager. Klik save dan kunjungi halaman berikutnya. Di situ muncul sebuah video yang berasal dari YouTube. Klik pada bagian video itu dan sebuah hasil pencarian Google akan terbuka. Cermati URL-nya. Jangan kaget kalau username dan password yang Anda masukkan tadi ada di URL itu. Wah, bahaya!
Untunglah Mozilla sudah menyadari adanya lobang ini dan mereka sedang berusaha untuk menambalnya.
Blog ini milik Pujiono, seorang pekerja media yang tinggal di Tangerang. Dia bukanlah seorang wartawan. Dia juga bukanlah orang yang punya krenteging ati untuk secara teratur menuliskan pikiran dan ide lewat blog. 
Infonya bagus mas Puji, tapi memang saya ga pernah save record username dan password. Setiap muncul box di atas, saya selalu pilih never.
Maklum, di internet ga ada yang sama sekali aman :)
sama dengan mas Hedi.
saya malah mau matiin fungsi remember password-nya :)
iya benar di FF, tapi kalo dengan netscape tidak.
Saya idem sama Hedi. Bahkan meski komputer saya pakai sendiri pun saya tetap menghindari pengingatan password oleh mesin.:)