Firefox, lcamtuf i błąd 407

dodał 20 lutego 2013 o 18:49 w kategorii Błędy, Drobiazgi  z tagami:

Najnowsza wersja Firefoxa 19.0 łata ciekawy błąd, zgłoszony przez Michała Zalewskiego. Co prawda sam lcamtuf jeszcze go nie opisał na swoim blogu, ale z opisu łaty można wywnioskować, że błąd umożliwia podszywanie się pod serwisy, korzystające z połączeń https. W tym celu wykorzystywana jest nieprawidłowa obsługa błędu http 407, czyli braku prawidłowej autoryzacji na serwerze proxy. Atakujący, kontrolujący serwer proxy między atakowanym a serwerem docelowym, może wymusić próbę autoryzacji, a gdy użytkownik anuluje okno logowania, przeglądarka wyświetli komunikat o błędzie (którego treść kontrolowana jest przez serwer proxy), jednocześnie pozostawiając w pasku adresu np. ciąg https://mbank.pl.

Aktualizacja: Pojawił się już wpis na blogu lcamtufa, opisujący odkryty błąd.