guje się podobnym formularzem.
Atak można wykorzystać przede wszystkim w serwisach społecznościowych, w których użytkownicy mogą tworzyć własne witryny. Cyberprzestępca może użyć formularza podobnego do tego, który jest używany do logowania. Firefox użytkownika, który odwiedzi taką stronę, automatycznie wstawi tam dane potrzebne do zalogowania i może je wysłać na serwer atakującego. Co prawda developerzy Firefoksa wprowadzili zabezpieczenia chroniące przed takim scenariuszem, jednak można je obejść odczytując wprowadzone dane za pomocą JavaScriptu. Aby tego dokonać witryna musi jedynie mieć dostęp do danych za pomocą metody DOM (document.form.field.value).
Developerzy Firefoksa wiedzą o problemie, jednak by mu zaradzić musieliby ograniczyć funkcjonalność przeglądarki. Ponadto cyberprzestępca, który ma możliwość umieszczenia własnego skryptu na serwerze, ma też możliwość innego sposobu kradzieży danych.
Aby obronić się przed tego typu atakiem użytkownicy nie powinni dawać przeglądarce prawa do zapamiętywania haseł do serwisów, które pozwalają użytkownikom na tworzenie własnych stron zawierających skrypty.
Źródło: ArcaBit.pl