Password e Username di Firefox su un server pubblico

Redazione di Hardware Upg · 29-12-2010, 09:48

Link alla notizia: http://www.hwfiles.it/news/password-...ico_34911.html

Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico

Click sul link per visualizzare la notizia.

pgp · 29-12-2010, 09:51

Che dire... Complimenti a Mozilla

Fortuna che non l'ho mai usato né sopportato.

pgp

PaPuAsja · 29-12-2010, 10:03

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

MesserWolf · 29-12-2010, 10:08

Quote:

Originariamente inviato da PaPuAsja

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.

Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.

TheZioFede · 29-12-2010, 10:12

Quote:

Originariamente inviato da pgp

Che dire... Complimenti a Mozilla

Fortuna che non l'ho mai usato né sopportato.

pgp

usi la fondazione?

RoMZERO · 29-12-2010, 10:12

Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.

sirhaplo · 29-12-2010, 10:14

Cosa intendono con "Su un server pubblico" ?

Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?

Non capisco l'allarmismo.

huema · 29-12-2010, 10:17

Quote:

Originariamente inviato da PaPuAsja

Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.

è riferito al solo sito degli add-on, in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox

e usare una master password per l'accesso alle opzioni ...

sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer

ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt"

direi che così è molto più sicuro (ironico) che mostrare degli account disattivati o accedere alle opzioni di firefox

TheZioFede · 29-12-2010, 10:22

Quote:

Originariamente inviato da RoMZERO

Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.

no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox

comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente

giovannifg · 29-12-2010, 10:42

Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:

Quote:

Dear addons.mozilla.org user,

The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.

We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.

Should you have any questions, please feel free to contact the infrastructure security team directly at infrasec@mozilla.com. If you are having issues resetting your account, please contact amo-admins@mozilla.org.

We apologize for any inconvenience this has caused.

Chris Lyon
Director of Infrastructure Security

Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.

Alex83FE · 29-12-2010, 11:23

--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D

edivad82 · 29-12-2010, 11:48

Quote:

Originariamente inviato da Alex83FE

--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D

nel mondo della teoria è vero, nel mondo pratico no...già solo per via delle collisioni, degli attacchi brute force o tramite rainbow table, md5 è un filo "sottotono"

eraser · 29-12-2010, 12:01

Quote:

Originariamente inviato da Alex83FE

--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

MD5 non è più considerato sicuro da tempo. Ci sono svariate ricerche a riguardo che dimostrano come sia possibile trovare collisioni nel giro di pochi secondi.

Sono stati dimostrati anche pre-image attack (solo teorici) e prefix collision attack.

Insomma, MD5 come sistema di autenticazione scricchiola pure troppo

ScorpionGT · 29-12-2010, 13:00

Quote:

Originariamente inviato da MesserWolf

Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.

Peccato però che ogni volta che devi usare le password in qualche modulo devi inserire anche la Master Password (almeno 1 volta per sessione), il che è abbastanza scomodo. C'è il modo di nascondere le password senza usare la Master Password, ma non è per nulla intuitivo poiché bisogna agire su delle impostazioni nascoste di Firefox. Il problema più grande è che l'utente medio non è a conoscenza di questa problematica (che con 1 click chiunque per default può visualizzare le password salvate).

djfix13 · 29-12-2010, 13:28

mai usato l'account addons quindi pericoli inesistenti e polemica sulla sicurezza del browser infondata.

anche Firefox Sync non verrà di certo usata da me...odio il Cloud e non lo supporterò mai per tutta la vita!

ironoxid · 29-12-2010, 17:34

Grave. Un pagliaccio dello staff di Mozilla doveva scaricarsi il file e l'ha messo nel server pubblico. Chiaramente un dipendente che la pagherà cara e chiaramente una brutta figura per Mozilla. Certo che, fosse stato qualche altro amico che conosciamo bene, avrebbe prima cancellato il file, poi pagato la terza parte e conseguentemente avrebbe insabbiato tutto.
L'incidente è avvenuto, male, molto male. Almeno però sono trasparenti.
Dall'MD5 si risale al dato originale tramite database precostituiti con coppie di plain ed hash.

blackshard · 29-12-2010, 19:08

Provo abbastanza sdegno sul fatto che il titolo della news sia "Password e Username di Firefox su un server pubblico".

Complimenti eh, complimenti davvero...

edit: con il link della pubblicità di internet explorer 9 in alto a destra tralaltro...

ArteTetra · 29-12-2010, 21:20

Allora l'e-mail che ho ricevuto non era lo scherzo di un buontempone!

Come farò a dormire tranquillo, sapendo che l'hash della password del mio account Mozilla Add-ons è stato reso pubblico?

Kar.ma · 29-12-2010, 23:42

Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.

arelok · 29-12-2010, 23:59

Quote:

Originariamente inviato da Kar.ma

Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.

Come rubare una ********* a un bambino, in effetti!

29-12-2010, 09:51	#2
pgp Senior Member Iscritto dal: Jun 2007 Città: Stoccolma (Svezia) Messaggi: 13350	Che dire... Complimenti a Mozilla Fortuna che non l'ho mai usato né sopportato. pgp __________________ Le mie trattative Felice utente OS X, Android, Windows e iOS

29-12-2010, 10:03	#3
PaPuAsja Senior Member Iscritto dal: Dec 2005 Messaggi: 1525	Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica. __________________ VENDO: Desire HD - NOTEBOOK 15" - ArchosTv+ 250gb - VARIO HARDWARE Ho acquistato da: HARDCANO, Aro, Alessio_67, M.A.A. Studio,xenomins,Imotep72,shumyfast,soppress,sommo89 Ho Venduto a: nicoabyss, essegi, slash_83, word_worm, Deskmat,franklyn,superbresca, Umberto77,Iguana,Benna65,nicoabyss

29-12-2010, 19:08	#17
blackshard Senior Member Iscritto dal: Jan 2002 Città: non ti interessa Messaggi: 5603	Provo abbastanza sdegno sul fatto che il titolo della news sia "Password e Username di Firefox su un server pubblico". Complimenti eh, complimenti davvero... edit: con il link della pubblicità di internet explorer 9 in alto a destra tralaltro... __________________ [url="http://www.hwupgrade.it/forum/showthread.php?t=2119003"]- Compilatore Intel e disparità di trattamento verso processori AMD/VIA Ultima modifica di blackshard : 29-12-2010 alle 19:11.

29-12-2010, 21:20	#18
ArteTetra Senior Member Iscritto dal: Jun 2008 Città: Lugano Messaggi: 2383	Allora l'e-mail che ho ricevuto non era lo scherzo di un buontempone! Come farò a dormire tranquillo, sapendo che l'hash della password del mio account Mozilla Add-ons è stato reso pubblico? __________________ Firma parecchio obsoleta… ma per intanto non ho voglia di aggiornarla Lian Li PC-A17 • Phenom II X4 965 3.7 GHz • NH-D14 • HD5770 • 4 x 2 GB DDR3 • 830 Series SSD 256 GB • etc etc Lenovo ThinkPad X220 • i7-2620M 2.6 GHz • 2 x 4 GB DDR3 • 840EVO mSATA SSD 500 GB • 12.5" 1366x768 IPS • Windows 7 Pro

29-12-2010, 09:48	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: http://www.hwfiles.it/news/password-...ico_34911.html Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico Click sul link per visualizzare la notizia.

29-12-2010, 10:12	#6
RoMZERO Senior Member Iscritto dal: May 2002 Messaggi: 667	Immagino si riferisca al Firefox Sync questo articolo vero? Lo hanno giusto aggiornato stamani.

29-12-2010, 10:14	#7
sirhaplo Senior Member Iscritto dal: Mar 2004 Messaggi: 333	Cosa intendono con "Su un server pubblico" ? Un server con accesso a internet e non solo alla rete interna ? Un server da cui si scarica la lista senza problemi ? Un server in mezzo a una strada ? Non capisco l'allarmismo.

29-12-2010, 11:23	#11
Alex83FE Member Iscritto dal: Jul 2005 Messaggi: 34	-- The file included email addresses, first and last names, and an md5 hash representation of your password. -- Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti. Saluti :-D

29-12-2010, 13:28	#15
djfix13 Senior Member Iscritto dal: Oct 2009 Messaggi: 3610	mai usato l'account addons quindi pericoli inesistenti e polemica sulla sicurezza del browser infondata. anche Firefox Sync non verrà di certo usata da me...odio il Cloud e non lo supporterò mai per tutta la vita!

29-12-2010, 17:34	#16
ironoxid Member Iscritto dal: Feb 2007 Messaggi: 62	Grave. Un pagliaccio dello staff di Mozilla doveva scaricarsi il file e l'ha messo nel server pubblico. Chiaramente un dipendente che la pagherà cara e chiaramente una brutta figura per Mozilla. Certo che, fosse stato qualche altro amico che conosciamo bene, avrebbe prima cancellato il file, poi pagato la terza parte e conseguentemente avrebbe insabbiato tutto. L'incidente è avvenuto, male, molto male. Almeno però sono trasparenti. Dall'MD5 si risale al dato originale tramite database precostituiti con coppie di plain ed hash.

29-12-2010, 23:42	#19
Kar.ma Member Iscritto dal: Jan 2007 Messaggi: 45	Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.

Strumenti
Mostra una versione stampabile Invia questa pagina per email