zapamiętywane jest dla całej domeny. Kradzież danych jest możliwa, jeśli tylko złodziej danych będzie mógł założyć sobie stronę w takiej samej domenie jak ofiara, a jest to możliwe np. w serwisach społecznościowych.
Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina.
Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki.
Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.
Źródło: Marcin Maj – Dziennik Internautów – www.di.com.pl