Siamo stati abituati a ritenere Firefox (probabilmente a ragione) il prodotto per la navigazione web più sicuro attualmente disponibile; abituati infatti ai continui problemi di sicurezza legati ad Internet Explorer, oltre che ai continui subissamenti di banner e spyware correlati all’utilizzo smodato di activex, Firefox appare sicuramente una soluzione pulita e gradevole, oltre che incommensurabilmente più sicura e veloce.
Come in ogni ambito, però, (come non smetto mai di sottolineare in ogni mia conferenza) anche nell’informatica la sicurezza non è un prodotto, ma un processo: è perfettamente possibile che errate impostazioni ed errati comportamenti possano comportare vaste problematiche di sicurezza e lesione della privacy.
Anche nel caso di del browser perferito da molti (me compreso) esiste per lo meno una funzionalità di cui la maggior parte degli utenti abituati ad Explorer non è a conoscenza e che potrebbe riservare qualche piccola preoccupazione: il sistema di Password Storing.
Per convenienza dell’utente, infatti, Firefox ha la possibilità di registrare username e password per i siti ad accesso più frequente. Al contrario però di Internet Explorer ha anche la possibilità di mostrare direttamente utente e password a chiunque ne faccia richiesta. Se infatti selezioniamo il menu “Tools / Options / Privacy / Passwords” possiamo notare la schermata principale del pannello di gestione passwords:
Se selezioniamo l’opzione “View Saved Passwords” veniamo indirizzati alla inquetante schermata qui sotto, che mostra in chiaro direttamente tutti i nomi utenti e passwords registrati dal primo utilizzo:
A questo punto è semplice capire come qualunque utente che abbia anche sporadicamente accesso al nostro PC possa in pochi istanti impadronirsi del completo set delle nostre credenziali, cosa che soprattutto in un ambito di lavoro condiviso come può essere un ufficio potrebbe essere sicuramente fonte di imbarazzo o pericolo.
Non è necessario, però, ricadere in facili allarmismi. Esiste una opzione di Firefox che protegge questo “portachiavi riservato” con una password che verrà richiesta al primo utilizzo delle credenziali.
Sempre dalla schermata principale, infatti, è possibile selezionare “Set Master Password” per impostare questo codice che proteggerà le nostre credenziali da occhi indiscreti…
Non volendo criticare più di tanto una scelta di comodità come quella di non costringere l’utente ad inserire credenziali ogni avvio di navigazione, ci pare però corretto segnalare questo tipo di problematica a chi necessiti di un grado di sicurezza maggiore di quello fornito dalla installazione standard.
ADDENDUM:
Sempre che anche un utente malintenzionato che abbia accesso in qualunque modo alla macchina protetta possa recuperare il file e decrittarlo mediante un comodo e pratico Tool che prende il nome di FirePassword.
Il programma utilizza i seguenti files contenuti nella directory del Profile di Firefox: * signons.txt (elenco username, siti e password crittate) * key3.db (la chiave di cifratura)
Eccone un esempio di utilizzo:
Nel caso in cui il portachiavi sia protetto da password è anche possibile forzare la password di cifratura mediante utilizzo della utility gemella FireMaster, sia mediante utilizzo di una wordlist, sia in forza bruta.
Eccone uno Screenshot:
Post Simili
»Il ricordaBlog della Domenica
»Google Chrome: ecco il tracciante…
»Firefox per la privacy ’sconfigge’ i nuovi cookies
»Firefox batte Explorer 42 a 36!
»Riparare la falla di Firefox…
»Zero-Day di Flash attivo On the Wild
»Perchè il PM di Bergamo permette che si RUBINO le PASSWORD di ThePirateBay?
»Aiutami a correre: quando il Web 2.0 fa bene
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
07 Mar 06
5:01 pm
Grazie di questa informazione,avevo notizie confuse in merito e in quest’articolo hai chiarito in modo efficace i dubbi che mi assillavano
07 Mar 06
9:24 pm
la sicurezza è la comodità devono andare a braccetto, restando in equilibrio. è quella che cerco di diffondere sotto il nome di “consapevolezza”: essere consapevoli di cosa stia facendo il proprio computer, e operare le scelte più giuste
08 Mar 06
1:20 am
l’articolo è di per se interessante, tuttavia vorrei sottoporre all’attenzione dell’autore che:
non esiste sicurezza se non si ha sicurezza a livello 1.
IHMO.
Saluti.
08 Mar 06
8:35 am
in realta’ ho sempre pensato che le password non esistono per essere tenute nello stesso posto in cui servono, quindi l’opzione di salvataggio password la faccio disabilitare a tutti
25 Apr 06
2:08 pm
Qualcuno conosce il metodo di cifratura delle password tramite la master password ?
25 Jun 06
4:27 pm
Esiste un tool anche per ‘testare’ se la master password è di buona qualità: http://nagmatrix.50webs.com/article_firemaster.html
30 Apr 07
12:34 am
[...] Quando la volpina diventa pericolosa… Anche nel caso di del browser perferito da molti (me compreso) esiste per lo meno una funzionalità di cui la maggior parte degli utenti abituati ad Explorer non è a conoscenza e che potrebbe riservare qualche piccola preoccupazione: il sistema di Password Storing. [...]