【大紀元11月28日訊】(大紀元記者徐豐喜編譯)大家一向認為火狐瀏覽器2.0版(Firefox 2.0)的安全性比微軟的IE瀏覽器高,但是最近在火狐瀏覽器的密碼管理工具(Firefox Password Manager)中所出現的漏洞,卻讓網路駭客可以偷取使用者的帳號密碼。火狐密碼管理工具可以儲存登入網站時所需的帳號和密碼。
根據newsfactor.com網站報道,第一個發現這個問題的是一名微軟認證的系統工程師、資訊技術顧問羅伯特-薛平(Robert Chapin),他把這個問題稱做反向跨站請求(reverse cross-site request、RCSR)。RCSR廣泛應用在可以讓使用者輸入内嵌有網頁代碼信息的部落格、留言版和群組討論區上。
駭客可以上傳嵌入表格的代碼到這些網站,欺騙其他用户的瀏覽器把帳號和密碼傳送到駭客的電腦中。由於這種表格是寫在受信任的網站上,所以瀏覽器內建的反網釣保護功能無法發揮作用,因為反網釣功能只能夠辨認偽造的網站,卻無法辨認受信任的網站中所出現的問題。
更嚴重的是,駭客可以讓這種表格處於隱藏狀態,也就是說使用者甚至不知道自己的資料已經被盜取了。
安全漏洞360493號
維護火狐瀏覽器的Mozilla基金會已經承認這個漏洞並且把它編號第360493號,微軟也承認這個問題會影響到IE瀏覽器,但是大部分的報告顯示火狐比較容易受影響,因為火狐儲存帳號和密碼的方式讓資料更容易遭到盜取。
Mozilla公司和微軟目前還沒有公佈新的修補程式,但是使用者關閉瀏覽器的自動儲存帳號密碼功能,就可以解決這個問題。在火狐瀏覽器中,在「工具」表單中選擇「選項」,再選擇「安全」標籤,並且取消勾選「密碼」欄位中的「記住每個網站的密碼」。
Mozilla公司表示它將會在火狐2.0.0.1版或2.0.0.2版中解決這個問題。
兩個瀏覽器的競爭
大部分的專家都同意火狐是比較安全的瀏覽器,主要的原因是微軟的使用率高,所以成為更多駭客的攻擊目標。
確實,在最近兩年中,我們可以看到每個月、有時候甚至是每個星期就會出現關於IE瀏覽器安全漏洞的報告,駭客可以透過這些漏洞入侵使用者的電腦並且破壞個人資料。
但是微軟公司在10月推出了最新版本的瀏覽器IE 7.0,Mozilla公司也緊接著推出了火狐2.0版,這兩種版本都增加了它的安全性,包括了反網釣的功能,對一些熟知的網釣技術進行線上資料庫比對,IE 7.0也改進了使用者介面,比如瀏覽標籤的功能等。
目前微軟佔有大部分的瀏覽器市場,估計約佔百分之80到90,但是火狐緊追不捨。
(http://www.dajiyuan.com)
