A napokban egy súlyos sebezhetőségre derült fény a Firefox 2-es és az Internet Explorer 7-es verzióiban, amellyel el lehet lopni a böngészőben lementett jelszavakat. Sajnos ez a sebezhetőség nem csak elméleti, hanem valóban használták is a MySpace oldalain, és mivel javítás egyelőre nincs hozzá, több más helyen is kihasználhatják, ahol engedélyezett valamilyen módon HTTP kód használata.

A kapcsolódó híradásokban többnyire nem említik meg az Operát, így nem derül ki, hogy támadható-e vagy nem ezzel a módszerrel. A CIS oldalán bővebben is lehet olvasni az RCSR támadásról, és egy tesztoldal is rendelkezésre áll, amellyel ellenőrizhető a sebezhetőség. A tesztoldal alapján az Opera a fenti módszerrel nem támadható, így a jelszavaink biztonságban vannak, legalábbis egyelőre.

Ugyanis arról sem feledkezhetünk meg, hogy a legutóbbi heti előzetesben megváltoztatták a jelszavak kezelését, így a régi profilokból lementett wand.dat fájlok nem működnek az újban, és fordítva. A változtatásról a következőt írják a Desktop Team blogon:

Talán már olvastál a MySpace elleni adathalász támadásról, ami az automatikus jelszómentést használja ki más böngészőkben. Bár az Opera most ebben nem érintett, de a módosításokkal még nehezebbé tettük a hasonló támadások véghezvitelét.

Vagyis az Operával a jelszavaid továbbra is biztonságban vannak.

A hétvégén az Opera is részt vett a Webmesterek világkonferenciáján, ahol Daniel Goldman, az Opera Watch szerzője készített egy rövid interjút Jon von Tetzchnerrel, az Opera vezérigazgatójával. A magyar fordítás alább olvasható.

Az Opera tegnap a londoni eseményen bejelentette, hogy az új, 9.1-es verzió beépített csalás elleni védelemmel is fog rendelkezni. Az új módszerrel az Opera már nem csak a weblap biztonsági információit jeleníti meg, hanem a megnyitás közben le is ellenőrzi az oldal megbízhatóságát, és a már ismert adathalász oldalakon egy figyelmeztetést jelenít meg a rosszindulatú weblap megnyitása helyett.

Az Internet Explorer és a Firefox már tartalmaz ilyen, ún. anti-phising módszert, az Opera megoldása azonban mindkét böngészőtől eltér, és hatékonyabb védelmet biztosít. Az Opera ugyanis a weblap megnyitásakor felveszi a kapcsolatot egy központi szerverrel, és valós időben kérdezi le a weblap jelenlegi státuszát. A Firefox ezzel szemben egy feketelistát használ, amit egy központi szerverről tölt le bizonyos időközönként, és a lokális másolat alapján ellenőrzi a megnyitott weblapokat (lehetőség van azonnali ellenőrzésre is, ha külön bekapcsoljuk). Az Internet Explorer 7-es verziója fehér listát használ az oldalak ellenőrzésére.

A weblapokkal való visszaélések manapság már sokkal rövidebb idő alatt zajlanak le, mint régebben, így a lokális, frissített lista nem nyújt megfelelő védelmet. A támadások nagy része néhány óra alatt zajlik le, ezért mindenképpen valós idejű ellenőrzésre van szükség.

Az Opera a GeoTrust szolgáltatását használja a weblapok ellenőrzésére, amely jelenleg a megtévesztő weblapok 99%-át képes beazonosítani. A weblapok megnyitásakor az oldal betöltésével párhuzamosan Opera egy kis csomagot küld egy központi szervernek az oldal címével, amely egy biztonságos, aláírt XML választ küld vissza a webcím megbízhatóságáról. Az Opera által küldött csomag semmilyen személyes adatot nem tartalmaz (ezt le is lehet majd ellenőrizni, mivel egyszerű szöveges formában küldik el), nem tárolják le az IP címeket és a kéréseket, így utólag már nem tudják beazonosítani, hogy melyik kérés kihez tartozott. Mivel az ellenőrzés az oldalak betöltése közben történik, ezért nem lassítja a böngészést.

Az anti-phishing megoldás szerepelt az Opera 10-hez kért funkciók között is, remélhetőleg a későbbiekben további kéréseket is megvalósítanak a listából.

Kapcsolódó linkek

• Opera Desktop Team: Opera Backstage: Opera 9.1 will include Fraud Protection
• Opera Watch: Opera 9.1 to include Real-Time Fraud Protection

Egy furcsa érdekességre figyeltek fel a wow factor blogon: az Opera és a Firefox főoldala több szempontból is hasonlít egymáshoz. Bár a weboldalakat megnyitva ez nem annyira szembetűnő, de a mellékelt képek már magukért beszélnek.

Néhány nagyobb hasonlóság a böngészők weblapjain:

• hasonló kékes háttérszín
• hasonló felirat: mindkét böngésző neve vörös, míg a verziójelölés fekete vagy szürke
• nagyon hasonló letöltési gombok
• hasonló vízszintes elválasztóvonal
• koncentrikus körök a képernyőkép mögött

Bár a hasonlóság eléggé látványos, mégsem jelenti azt egyértelműen, hogy egymástól másoltak volna a weboldalak tervezői. Mindkét összeállítás web 2.0-ás színeket használ, a vörös és a fekete általában jól kiegészíti egymást. Hasonló letöltési gombokat sok más oldalon is lehet látni, ez megkönnyíti a letöltési linkek felismerését.

Az Opera nem olyan régen, kb. 3 hete vezette be az új főoldalt, ami megkönnyíti a különböző verziók letöltését, valamint szétválogatja az eltérő érdeklődésű látogatókat.

Kapcsolódó linkek

• wow factor - Browser page similarities?
• digg - Opera and Firefox Homepage Similarities

Nemrég volt szó arról, hogy hogyan alakíthatod át az Operát úgy, hogy a Firefoxra hasonlítson. A böngészők közötti váltásnál, vagy több böngésző egyidejű használatakor hasznos lehet az ismerős felület. Ha sokszor használsz Firefoxot, de jobban tetszik az Opera megjelenése, akkor próbáld ki ezt az Opera témát Firefoxhoz.

Bár ez a téma már nem egészen új, azért említettem meg mégis, mert a Firefox téma oldalán furcsa módon nem szerepel.