Status

()

Firefox
Developer Tools: Object Inspector
--
critical
RESOLVED DUPLICATE of bug 933223
a year ago
a year ago

People

(Reporter: Matias, Unassigned)

Tracking

Firefox Tracking Flags

(Not tracked)

Details

(Reporter)

Description

a year ago
User Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:48.0) Gecko/20100101 Firefox/48.0
Build ID: 20160728203720

Steps to reproduce:

El bug se presenta en las paginas en las que uno pone "guardar contraseña". Lo que sucede es lo siguiente, uno guarda la contraseña y luego cierra el navegador, por dar un ejemplo.
Luego, cuando entra a la pagina con un area de inicio de sesion nuevamente, la cuenta aparece de la siguiente manera:
matias@pccentro.com.ar
********** <--- contraseña
En en el 90% de los sitios (gmail, hotmail, taringa, modems, etc) cuando uno abre con F12 las herramientas de desarrollo.
Y con el inspector de elementos seleccion el campo donde esta la contraseña,
figura una linea como la siguiente :


<input name="pass" class="ui-corner-all form-input-text" type="password">

En la cual, si reemplazamos el campo que dice "password" con una palabra cualquiera y presionamos enter.
El navegador nos revela la contraseña guardada.

En cuestion de segundos uno puede apropiarse de la cuenta de otro.
Chrome tiene el mismo error.
(Reporter)

Updated

a year ago
Severity: normal → critical
Component: Untriaged → Developer Tools: Object Inspector
Hardware: Unspecified → All

Comment 1

a year ago
Google Translate:

The bug is presented on pages where you put "save password". What happens is this, you save your password and then close the browser, to give an example.
Then, when you enter the page with a login area again, the account appears as follows:
matias@pccentro.com.ar
********** <--- Password
In 90% of the sites (gmail, hotmail, taringa, modems, etc) when you open with F12 development tools.
And with the selection elements inspector the field where this password,
contains a line like this:


<Input name = "pass" class = "ui-corner-all form-input-text" type = "password">

In which, if we replace the field that says "password" with any word and press enter.
The browser reveals the saved password.

Within seconds one can hijack the account of another.
Chrome has the same error.


-------------------


This is a duplicate of bug 933223. This is the expected behaviour and not a security bug.
Group: firefox-core-security
Status: UNCONFIRMED → RESOLVED
Last Resolved: a year ago
Resolution: --- → DUPLICATE
Duplicate of bug: 933223
You need to log in before you can comment on or make changes to this bug.