Password e Username di Firefox su un server pubblico

Password e Username di Firefox su un server pubblico

Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico

di pubblicata il , alle 10:48 nel canale Sicurezza
FirefoxMozilla
 
I migliori sconti su Amazon oggi
-40%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

49.99 29.99 Compra ora
-20%

Playstation PS5 edizione digitale - Bundle Call of Duty: Black Ops 6

499.90 399.99 Compra ora
-53%

Amazfit GTR 3, 46 mm, Smartwatch Orologio Intelligente Alexa Integrato, 150 modalità di Allenamento con GPS, AMOLED, Monitor del Sonno, 5 ATM Impermeabile, Durata Batteria di 21 Giorni, SpO2

149.90 69.90 Compra ora
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
edivad8229 Dicembre 2010, 12:48 #11
Originariamente inviato da: Alex83FE
--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D


nel mondo della teoria è vero, nel mondo pratico no...già solo per via delle collisioni, degli attacchi brute force o tramite rainbow table, md5 è un filo "sottotono"
eraser29 Dicembre 2010, 13:01 #12
Originariamente inviato da: Alex83FE
--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.


MD5 non è più considerato sicuro da tempo. Ci sono svariate ricerche a riguardo che dimostrano come sia possibile trovare collisioni nel giro di pochi secondi.

Sono stati dimostrati anche pre-image attack (solo teorici) e prefix collision attack.

Insomma, MD5 come sistema di autenticazione scricchiola pure troppo
ScorpionGT29 Dicembre 2010, 14:00 #13
Originariamente inviato da: MesserWolf
Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.

Peccato però che ogni volta che devi usare le password in qualche modulo devi inserire anche la Master Password (almeno 1 volta per sessione), il che è abbastanza scomodo. C'è il modo di nascondere le password senza usare la Master Password, ma non è per nulla intuitivo poiché bisogna agire su delle impostazioni nascoste di Firefox. Il problema più grande è che l'utente medio non è a conoscenza di questa problematica (che con 1 click chiunque per default può visualizzare le password salvate).
djfix1329 Dicembre 2010, 14:28 #14
mai usato l'account addons quindi pericoli inesistenti e polemica sulla sicurezza del browser infondata.

anche Firefox Sync non verrà di certo usata da me...odio il Cloud e non lo supporterò mai per tutta la vita!
ironoxid29 Dicembre 2010, 18:34 #15
Grave. Un pagliaccio dello staff di Mozilla doveva scaricarsi il file e l'ha messo nel server pubblico. Chiaramente un dipendente che la pagherà cara e chiaramente una brutta figura per Mozilla. Certo che, fosse stato qualche altro amico che conosciamo bene, avrebbe prima cancellato il file, poi pagato la terza parte e conseguentemente avrebbe insabbiato tutto.
L'incidente è avvenuto, male, molto male. Almeno però sono trasparenti.
Dall'MD5 si risale al dato originale tramite database precostituiti con coppie di plain ed hash.
blackshard29 Dicembre 2010, 20:08 #16
Provo abbastanza sdegno sul fatto che il titolo della news sia "Password e Username di Firefox su un server pubblico".

Complimenti eh, complimenti davvero...

edit: con il link della pubblicità di internet explorer 9 in alto a destra tralaltro...
ArteTetra29 Dicembre 2010, 22:20 #17
Allora l'e-mail che ho ricevuto non era lo scherzo di un buontempone!

Come farò a dormire tranquillo, sapendo che l'hash della password del mio account Mozilla Add-ons è stato reso pubblico?
Kar.ma30 Dicembre 2010, 00:42 #18
Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.
arelok30 Dicembre 2010, 00:59 #19
Originariamente inviato da: Kar.ma
Se da un lato è vero che dall'MD5 non è teoricamente immediato risalire alla password, vi faccio notare che questo è putroppo invece possibile se viene usata come password una parola comune, una "da dizionario" diciamo. Immaginate che abbiano scovato l'MD5 della mia password, e che esso sia 5ab158c470decf5ee4769479ffad67aa. Con Google non vi sarà difficile risalire a quale sia la mia password.


Come rubare una ********* a un bambino, in effetti!
_TeRmInEt_30 Dicembre 2010, 08:50 #20
Originariamente inviato da: edivad82
nel mondo della teoria è vero, nel mondo pratico no...già solo per via delle collisioni, degli attacchi brute force o tramite rainbow table, md5 è un filo "sottotono"


Anche nel mondo pratico nessuno utilizza MD5 senza qualche funzione Salt che mitighi la vulnerabilità del'MD5...
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^