Gestionarul de parole Firefox: siguranță sau confort?

[B7ackAnge7z]

Focul, Browserul-ul ?i Mintea i?i sunt de folos,

atâta timp cât ?tii s? le st?pâne?ti

Majoritatea utilizatorilor sunt atît de lene?i, încât prefer? s? spere c? ei nu vor fi ?inta vre-o unui atac cibernetic, decât s? caute/utilizeze informa?ia necesar? pentru a?i proteja datele confiden?iale, care, în majoritatea cazurilor, devin (datele) într-adev?r importante doar dup? ce vre-un ”nepoftit” ob?ine acces la ele. Dar dup? cum bine ?tim, dac? ceva r?u se poate întâmpla, se va întâmpla, iar faptul c? dorim din r?sputeri ca acest lucru s? nu se întâmple — nu ne va ajuta cu nimic.

Iat? de ce, în acest articol vreau s? vorbesc pu?in despre siguran?a ?i comoditatea de a utiliza «Gestionarul de parole», care dup? p?rerea mea, împreun? nu fac o echip? prea bun?. Desigur, e foarte comod atunci când browser-ul completeaz? automat toate c?su?ele, inclusiv numele de utilizator ?i parola. Dar dup? cum v? da?i seama, aceste date sunt salvate pe hard disk ?i odat? ce cineva ob?ine acces la PC, ob?ine acces ?i la aceste date, care sunt încriptate ?i într-o oarecare m?sur? nu pot fi extrase atât de u?or cum ar dori unii.

În principiu, fiecare companie încearc? s? ofere o protec?ie cât mai bun? a datelor de logare salvate de browser , dar dup? p?rerea mea, cel mai bine le reu?e?te celor de la Mozilla Foundation care dezvolt? renumitul browser Mozilla Firefox. Adic?, chiar dac? atacatorul ob?ine acces la fi?ierele în care sunt salvate parolele browser-ului, tehnologia folosit? de Firefox va avea grij? ca atacatorul s? nu poat? extrage (prea u?or) datele încriptate.

Bazându-ne pe astfel de ”idei”, ar fi mai logic ?i mai sigur s? salv?m parole cu ajutorul «Gestionarului de parole», deoarece, chiar dac? PC-ul va fi infectat cu un Trojan (desigur, care nu poate extrage datele încriptate) parolele r?mân în siguran?? atâta timp cât utilizatorul nu introduce manual parola pe o pagin? scam sau capturat? de un sniffer. Totu?i, aceasta din urm? metod?, cu p?rere de bine, din câteva motive (cum ar fi Challenge-response authentication sau conexiunile securizate) nu va func?iona pentru toate site-urile.

Cât despre paginile scam, într-adev?r aceast? tehnologie e destul de periculoas? ce la sigur îi va afecta pe majoritatea utilizatorilor ”simpli”. Dar de obicei, spre deosebire de marea majoritate, chiar dac? un expert introduce parola pe o pagin? scam, v?zând c? parola nu este acceptat? sau c? browser-ul se comport? ”straniu” — pe loc î?i va seama despre ce e vorba ?i va ?ti c? are minute num?rate pentru a accesa cât mai rapid contul electronic ?i s? schimbe parola, ca mai apoi s? caute ?i s? înl?ture problema.

Acum, haide?i s? ne imagin?m un utilizator ce are un cont pe un site important, are instalat browser-ul Firefox, parolele pentru acest site sunt salvate cu ajutorul «Gestionarului de parole», dar pe lâng? toate astea, mai are un mic ”progr?mel” care ruleaz? f?r? ?tirea lui ?i a?tept? comenzile de la ”st?pân”. Din fericire, eroul nostru (utilizatorul desigur), ?tie foarte bine ce e securitatea informa?ional? ?i dup? cum v? da?i bine seama, atacatorul nu poate fura parolele salvate cu ajutorul unei pagini scam (am uitat s? precizez c? acel mic ”progr?mel” e atât de mic, încât nu putea nici extrage datele încriptate ?i nici sniffer nu avea).

Îns?, nec?tînd la faptul c? utilizatorul e un adev?rat profesional, pentru a fura parolele salvate cu ajutorul «Gestionarului de parole» Firefox, totu?i se poate folosi scam-ul, doar c? f?r? ca utilizatorul s? ”asiste” la aceast? scen? tragic?. Problema e c? o dat? ce browser-ul Firefox deschide un site pentru care au fost salvate datele de logare, automat completeaz? c?su?ele cu datele necesare, iar atacatorului nu-i r?mâne de cât s? simuleze click-ul utilizatorului. Cel mai interesant, este c? pentru Firefox acest lucru poate fi f?cut ?i la nivel de programare web:

<html>
  <head>
    <title>Welcome to Scam page</title>
  </head>
  <body onload='document.forms[0].send.click();'>
    <form method='post'>
      <input type='text' name='user' />
      <input type='password' name='pass' />
      <input type='submit' name='send' id='send' value='login' />
    </form>
  </body>
</html>

Astfel, dac? parolele au fost salvate cu ajutorul «Gestionarului de parole», deschizând pagina de mai sus — c?su?ele «user» ?i «pass» vor fi completate automat de c?tre Firefox ?i datele vor fi trimise c?tre server, f?r? ca utilizatorul s? apese sau s? introduc? ceva.

În principiu, cam asta a fost ideea. Desigur, mai sunt multe întreb?ri legate, de exemplu, despre celelalte browsere, despre acei mul?i utilizatori care cred c? ”eu sunt un expert ?i cu u?urin?? voi observa scam-ul” ?i multe alte întreb?ri, r?spunsul la care, foarte repede îl ve?i g?si dac? ie?i?i din ”cutiu??”.

[bcman]

Pai este o problema. In primul rand acest gestionar de parole completeaza parola in functie de site.

Adica:

Eu fac site-ul gmail.co.cc

El are parola salvata pe gmail.com

Gestionarul de parole nu va completa parola pe gmail.co.cc ci doar pe gmail.com

2.

Daca "furi" fisierul in care e salvata parola, o poti pune in locul fisierului unde sunt salvat parolele la tine, apoi sa dai export passwords as CSV (are si ca txt parca)

[begood]

bcman ai auzit mama de xss ?

[B7ackAnge7z]

Nu uita?i de fi?ierul hosts:

1.1.1.1	gmail.com

[bcman]

Nu uita?i de fi?ierul hosts:

1.1.1.1	gmail.com

Eh, ai dreptate, de asta am uitat. Dar parca e mai simplu sa "furi" un fisier si eventual sa instalezi firefox decat sa modifici fisierul hosts, sa creezi un site in care parola sa fie completata si trimisa automat

[rar]

sal imi poate spune si mie cineva o metoda cat mai simpla si utila pentru a afla parole de pe un site de jocuri? multumesc anticipat

[rar]

nu inteleg de ce tre sa jignesti? chiar daca nu respecti pe nimeni...

[rar]

in cat timp poti afla o parola ?