Search the Community
Showing results for tags 'gestionarul de parole'.
-
Focul, Browserul-ul ?i Mintea i?i sunt de folos, atâta timp cât ?tii s? le st?pâne?ti Majoritatea utilizatorilor sunt atît de lene?i, încât prefer? s? spere c? ei nu vor fi ?inta vre-o unui atac cibernetic, decât s? caute/utilizeze informa?ia necesar? pentru a?i proteja datele confiden?iale, care, în majoritatea cazurilor, devin (datele) într-adev?r importante doar dup? ce vre-un ”nepoftit” ob?ine acces la ele. Dar dup? cum bine ?tim, dac? ceva r?u se poate întâmpla, se va întâmpla, iar faptul c? dorim din r?sputeri ca acest lucru s? nu se întâmple — nu ne va ajuta cu nimic. Iat? de ce, în acest articol vreau s? vorbesc pu?in despre siguran?a ?i comoditatea de a utiliza «Gestionarul de parole», care dup? p?rerea mea, împreun? nu fac o echip? prea bun?. Desigur, e foarte comod atunci când browser-ul completeaz? automat toate c?su?ele, inclusiv numele de utilizator ?i parola. Dar dup? cum v? da?i seama, aceste date sunt salvate pe hard disk ?i odat? ce cineva ob?ine acces la PC, ob?ine acces ?i la aceste date, care sunt încriptate ?i într-o oarecare m?sur? nu pot fi extrase atât de u?or cum ar dori unii. În principiu, fiecare companie încearc? s? ofere o protec?ie cât mai bun? a datelor de logare salvate de browser , dar dup? p?rerea mea, cel mai bine le reu?e?te celor de la Mozilla Foundation care dezvolt? renumitul browser Mozilla Firefox. Adic?, chiar dac? atacatorul ob?ine acces la fi?ierele în care sunt salvate parolele browser-ului, tehnologia folosit? de Firefox va avea grij? ca atacatorul s? nu poat? extrage (prea u?or) datele încriptate. Bazându-ne pe astfel de ”idei”, ar fi mai logic ?i mai sigur s? salv?m parole cu ajutorul «Gestionarului de parole», deoarece, chiar dac? PC-ul va fi infectat cu un Trojan (desigur, care nu poate extrage datele încriptate) parolele r?mân în siguran?? atâta timp cât utilizatorul nu introduce manual parola pe o pagin? scam sau capturat? de un sniffer. Totu?i, aceasta din urm? metod?, cu p?rere de bine, din câteva motive (cum ar fi Challenge-response authentication sau conexiunile securizate) nu va func?iona pentru toate site-urile. Cât despre paginile scam, într-adev?r aceast? tehnologie e destul de periculoas? ce la sigur îi va afecta pe majoritatea utilizatorilor ”simpli”. Dar de obicei, spre deosebire de marea majoritate, chiar dac? un expert introduce parola pe o pagin? scam, v?zând c? parola nu este acceptat? sau c? browser-ul se comport? ”straniu” — pe loc î?i va seama despre ce e vorba ?i va ?ti c? are minute num?rate pentru a accesa cât mai rapid contul electronic ?i s? schimbe parola, ca mai apoi s? caute ?i s? înl?ture problema. Acum, haide?i s? ne imagin?m un utilizator ce are un cont pe un site important, are instalat browser-ul Firefox, parolele pentru acest site sunt salvate cu ajutorul «Gestionarului de parole», dar pe lâng? toate astea, mai are un mic ”progr?mel” care ruleaz? f?r? ?tirea lui ?i a?tept? comenzile de la ”st?pân”. Din fericire, eroul nostru (utilizatorul desigur), ?tie foarte bine ce e securitatea informa?ional? ?i dup? cum v? da?i bine seama, atacatorul nu poate fura parolele salvate cu ajutorul unei pagini scam (am uitat s? precizez c? acel mic ”progr?mel” e atât de mic, încât nu putea nici extrage datele încriptate ?i nici sniffer nu avea). Îns?, nec?tînd la faptul c? utilizatorul e un adev?rat profesional, pentru a fura parolele salvate cu ajutorul «Gestionarului de parole» Firefox, totu?i se poate folosi scam-ul, doar c? f?r? ca utilizatorul s? ”asiste” la aceast? scen? tragic?. Problema e c? o dat? ce browser-ul Firefox deschide un site pentru care au fost salvate datele de logare, automat completeaz? c?su?ele cu datele necesare, iar atacatorului nu-i r?mâne de cât s? simuleze click-ul utilizatorului. Cel mai interesant, este c? pentru Firefox acest lucru poate fi f?cut ?i la nivel de programare web: <html> <head> <title>Welcome to Scam page</title> </head> <body onload='document.forms[0].send.click();'> <form method='post'> <input type='text' name='user' /> <input type='password' name='pass' /> <input type='submit' name='send' id='send' value='login' /> </form> </body> </html> Astfel, dac? parolele au fost salvate cu ajutorul «Gestionarului de parole», deschizând pagina de mai sus — c?su?ele «user» ?i «pass» vor fi completate automat de c?tre Firefox ?i datele vor fi trimise c?tre server, f?r? ca utilizatorul s? apese sau s? introduc? ceva. În principiu, cam asta a fost ideea. Desigur, mai sunt multe întreb?ri legate, de exemplu, despre celelalte browsere, despre acei mul?i utilizatori care cred c? ”eu sunt un expert ?i cu u?urin?? voi observa scam-ul” ?i multe alte întreb?ri, r?spunsul la care, foarte repede îl ve?i g?si dac? ie?i?i din ”cutiu??”.