Link alla notizia: http://www.hwfiles.it/news/password-e-username-di-firefox-su-un-server-pubblico_34911.html

Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico

Click sul link per visualizzare la notizia.

Che dire... Complimenti a Mozilla :rolleyes:
Fortuna che non l'ho mai usato né sopportato.


pgp

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.

Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.

Che dire... Complimenti a Mozilla :rolleyes:
Fortuna che non l'ho mai usato né sopportato.


pgp

usi la fondazione? :eek: :mbe:

Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.

Cosa intendono con "Su un server pubblico" ?

Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?

Non capisco l'allarmismo.

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

è riferito al solo sito degli add-on, in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox

e usare una master password per l'accesso alle opzioni ...

sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer

ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt" :O direi che così è molto più sicuro (ironico) che mostrare degli account disattivati o accedere alle opzioni di firefox

Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.

no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox

comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente

Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:


Dear addons.mozilla.org user,

The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.

We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.

Should you have any questions, please feel free to contact the infrastructure security team directly at [email protected]. If you are having issues resetting your account, please contact [email protected].

We apologize for any inconvenience this has caused.

Chris Lyon
Director of Infrastructure Security


Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.

--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D

--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D

nel mondo della teoria è vero, nel mondo pratico no...già solo per via delle collisioni, degli attacchi brute force o tramite rainbow table, md5 è un filo "sottotono"

--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.


MD5 non è più considerato sicuro da tempo. Ci sono svariate ricerche a riguardo che dimostrano come sia possibile trovare collisioni nel giro di pochi secondi.

Sono stati dimostrati anche pre-image attack (solo teorici) e prefix collision attack.

Insomma, MD5 come sistema di autenticazione scricchiola pure troppo

Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.
Peccato però che ogni volta che devi usare le password in qualche modulo devi inserire anche la Master Password (almeno 1 volta per sessione), il che è abbastanza scomodo. C'è il modo di nascondere le password senza usare la Master Password, ma non è per nulla intuitivo poiché bisogna agire su delle impostazioni nascoste di Firefox. Il problema più grande è che l'utente medio non è a conoscenza di questa problematica (che con 1 click chiunque per default può visualizzare le password salvate).

mai usato l'account addons quindi pericoli inesistenti e polemica sulla sicurezza del browser infondata.

anche Firefox Sync non verrà di certo usata da me...odio il Cloud e non lo supporterò mai per tutta la vita!

Grave. Un pagliaccio dello staff di Mozilla doveva scaricarsi il file e l'ha messo nel server pubblico. Chiaramente un dipendente che la pagherà cara e chiaramente una brutta figura per Mozilla. Certo che, fosse stato qualche altro amico che conosciamo bene, avrebbe prima cancellato il file, poi pagato la terza parte e conseguentemente avrebbe insabbiato tutto.
L'incidente è avvenuto, male, molto male. Almeno però sono trasparenti.
Dall'MD5 si risale al dato originale tramite database precostituiti con coppie di plain ed hash.

Provo abbastanza sdegno sul fatto che il titolo della news sia "Password e Username di Firefox su un server pubblico".

Complimenti eh, complimenti davvero... :fagiano:

edit: con il link della pubblicità di internet explorer 9 in alto a destra tralaltro... :nono:

Allora l'e-mail che ho ricevuto non era lo scherzo di un buontempone! :asd:

Come farò a dormire tranquillo, sapendo che l'hash della password del mio account Mozilla Add-ons è stato reso pubblico? :stordita:

Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.

Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.

Come rubare una ********* a un bambino, in effetti! ;)

nel mondo della teoria è vero, nel mondo pratico no...già solo per via delle collisioni, degli attacchi brute force o tramite rainbow table, md5 è un filo "sottotono"

Anche nel mondo pratico nessuno utilizza MD5 senza qualche funzione Salt che mitighi la vulnerabilità del'MD5...

Ci sono solo due soluzioni a questi tipi di problemi:

* usare OpenID e chiedere ai siti di offrire accesso mediante OpenID
* per i siti importanti (banca, posta) utilizzare un programma di generazione e gestione delle password come KeePass.

Altrimenti è ovvio che la gente riutilizzerà allo spasimo le stesse credenziali per ogni sitarello che vuole utilizzare.

Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti

Il problema e' proprio questo :nono: io ho una password si' unica per queste cavolate ma anche se me la scoprono al massimo entrano nei forum. Nella mail, account vari in giro ho password diverse e complesse. Mentre tantissimi usano la stessa password per qualsiasi cosa (e magari e' cosi' facile che gli hacker si deprimono e smettono di usare i pc)...

Di sicuro mettere queste password "protette" messe su un server pubblico e' stata una str**zata pazzesca, pero' dai... Account degli addon, sai che danni possono provocare se scoprono quella password :rolleyes:

Il problema e' proprio questo :nono: io ho una password si' unica per queste cavolate ma anche se me la scoprono al massimo entrano nei forum. Nella mail, account vari in giro ho password diverse e complesse. Mentre tantissimi usano la stessa password per qualsiasi cosa (e magari e' cosi' facile che gli hacker si deprimono e smettono di usare i pc)...
Oddio, usare una password differente per ogni sito personalmente lo definisco un suicidio. Poi personalmente uso password "a livelli", ovvero cinque-sei password che in base all'importanza dell'account hanno diversi livelli di complessità (da una semplice numerica ad alfanumerica, alfanumerica+simboli, ecc.).

Se mi avessero rubato la password dell'account dei mozilla add-ons e fossero per qualche fortuito caso riusciti ad interpretarla o ad incrociarla, insomma, a scoprirla, avrebbero potuto accedere oltre all'account già citato (con cui effettivamente un'estensione a suo tempo la pubblicai - e se avessero inviato/pubblicato update + malware che sfrutti qualche bug di FF?), anche alla mail di hotmail (dove vabbè, mi arriva poca roba oltre alla newsletter Microsoft, quasi zero roba importante) e a questo ed un paio d'altri forum. Nulla di grave comunque.

Oddio, usare una password differente per ogni sito personalmente lo definisco un suicidio. Poi personalmente uso password "a livelli", ovvero cinque-sei password che in base all'importanza dell'account hanno diversi livelli di complessità (da una semplice numerica ad alfanumerica, alfanumerica+simboli, ecc.).

Se mi avessero rubato la password dell'account dei mozilla add-ons e fossero per qualche fortuito caso riusciti ad interpretarla o ad incrociarla, insomma, a scoprirla, avrebbero potuto accedere oltre all'account già citato (con cui effettivamente un'estensione a suo tempo la pubblicai - e se avessero inviato/pubblicato update + malware che sfrutti qualche bug di FF?), anche alla mail di hotmail (dove vabbè, mi arriva poca roba oltre alla newsletter Microsoft, quasi zero roba importante) e a questo ed un paio d'altri forum. Nulla di grave comunque.

No, mi sono spiegato male. Faccio esattamente come te. Sui forum la password e' unica e di media difficolta'. Su altre registrazioni su forum che mi interessano poco o niente o "momentaneamente" uso una pass del cavolo numerica.

Sulla mail principale uso una password impossibile cosi' come per altre secondarie o sui pc ne uso un'altra (sono versi a caso, come gnegnagnu, voglio vedere se me le beccano.... Ehi, gnegnagnu mi piace :D)

Io nel tuo caso avrei una password fuffo-numerica per gli addon, mentre la mail e' protetta per i cavoli suoi, idem i forum.

Dopo che una volta, anni fa, stupidamente mi sono fatto fregare da un finto sito di login di un gioco e la password era stupidamente la stessa della mail...

La mail l'ho recuperata grazie al centro assistenza di hotmail, ma mai piu' password uguali collegate in qualche modo...

Anche nel mondo pratico nessuno utilizza MD5 senza qualche funzione Salt che mitighi la vulnerabilità del'MD5...

questo vale per non far viaggiare le pass in chiaro durante l'autenticazione, se hai il db, le pass vengono salvate in md5 e salt separati, quindi basta trovare una collisione

Una gran boiata da parte di Mozilla... ma per fortuna non ero tra gli iscritti a quel servizio.

Visto che ci sono qua molti esperti volevo sapere la qualità del metodo di criptazione che uso io e in caso con che metodo potrei sostiuirno se non è abbastanza sicuro.

Io utilizzo una chiave a 24 caratteri(48 bit), la cripto in md5 e faccio l'hash, poi prendo il testo da cryptare e lo cripto in TripleDES esempio(http://www.nmug.net/Forums/tabid/60/forumid/11/postid/9/scope/posts/Default.aspx)

Domanda: senza conoscere la password si riesce comunque a forzare l'algoritmo?

Grazie in anticipo ora termino l'OT