Acceso a campos protegidos en Firefox

El otro día Fernando, un compañero de trabajo, me habló de un addon para Firefox llamado WordReference Translator y también de sus peculiaridades. La descripción del plugin lo deja bien claro:
Abre una pestaña con la traducción de WordReference para la palabra seleccionada. Mediante un enlace flotante o pulsando la tecla "D".
Hasta aquí todo correcto, un plugin para Firefox que permite traducir palabras. Como todo buen plugin de traducción, traduce la selección. Hasta aquí todo normal pero, ¿qué pasaría si intentas traducir un campo de contraseña (por defecto oculta). Lo probamos.
Firefox oculta los datos, por lo que se supone que no es posible saberlos. De ahí que muchos de los programas que se encargan de averiguar las contraseñas detecten lo que tecleas y no lo lean directamente del Firefox. La sorpresa, la contraseña (mipasswd) se traduce! El addon es capaz de obtener la contraseña del campo protegido de Firefox, por lo que realmente no está tan protegido.

Probé el plugin en varias versiones de Firefox y también de Iceweasel y también con varios portales que permiten inicio de sesión. El resultado en todos se podía acceder. Este es, a priori un gran fallo de Firefox por dejar acceder a addons externos a información del campo de las contraseñas.

Actualización:
Después de algunos comentarios, simplemente aclarar que este addon no accede al anillo de claves, sino al campo de tipo passwd. Ahí el núcleo de Firefox efectivamente debería saber lo que hay, para hacer el POST o GET correctamente, pero un addon en ningún caso debería poder acceder.


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios