Quando firefox diventa pericoloso…

Siamo stati abituati a ritenere Firefox (probabilmente a ragione) il prodotto per la navigazione web più sicuro attualmente disponibile; abituati infatti ai continui problemi di sicurezza legati ad Internet Explorer, oltre che ai continui subissamenti di banner e spyware correlati all’utilizzo smodato di activex, Firefox appare sicuramente una soluzione pulita e gradevole, oltre che incommensurabilmente più sicura e veloce. Come in ogni ambito, però, (come non smetto mai di sottolineare in ogni mia conferenza) anche nell’informatica la sicurezza non è un prodotto, ma un processo: è perfettamente possibile che errate impostazioni ed errati comportamenti possano comportare vaste problematiche di sicurezza e lesione della privacy. Anche nel caso di del browser perferito da molti (me compreso) esiste per lo meno una funzionalità di cui la maggior parte degli utenti abituati ad Explorer non è a conoscenza e che potrebbe riservare qualche piccola preoccupazione: il sistema di Password Storing. Per convenienza dell’utente, infatti, Firefox ha la possibilità di registrare username e password per i siti ad accesso più frequente. Al contrario però di Internet Explorer ha anche la possibilità di mostrare direttamente utente e password a chiunque ne faccia richiesta. Se infatti selezioniamo il menu “Tools / Options / Privacy / Passwords” possiamo notare la schermata principale del pannello di gestione passwords: Il Pannello di controllo Password Se selezioniamo l’opzione “View Saved Passwords” veniamo indirizzati alla inquetante schermata qui sotto, che mostra in chiaro direttamente tutti i nomi utenti e passwords registrati dal primo utilizzo: Le password in chiaro A questo punto è semplice capire come qualunque utente che abbia anche sporadicamente accesso al nostro PC possa in pochi istanti impadronirsi del completo set delle nostre credenziali, cosa che soprattutto in un ambito di lavoro condiviso come può essere un ufficio potrebbe essere sicuramente fonte di imbarazzo o pericolo. Non è necessario, però, ricadere in facili allarmismi. Esiste una opzione di Firefox che protegge questo “portachiavi riservato” con una password che verrà richiesta al primo utilizzo delle credenziali. Sempre dalla schermata principale, infatti, è possibile selezionare “Set Master Password” per impostare questo codice che proteggerà le nostre credenziali da occhi indiscreti… Settaggio della Master Password Non volendo criticare più di tanto una scelta di comodità come quella di non costringere l’utente ad inserire credenziali ogni avvio di navigazione, ci pare però corretto segnalare questo tipo di problematica a chi necessiti di un grado di sicurezza maggiore di quello fornito dalla installazione standard. ADDENDUM: Sempre che anche un utente malintenzionato che abbia accesso in qualunque modo alla macchina protetta possa recuperare il file e decrittarlo mediante un comodo e pratico Tool che prende il nome di FirePassword. Il programma utilizza i seguenti files contenuti nella directory del Profile di Firefox: * signons.txt (elenco username, siti e password crittate) * key3.db (la chiave di cifratura) Eccone un esempio di utilizzo: FirePassword Nel caso in cui il portachiavi sia protetto da password è anche possibile forzare la password di cifratura mediante utilizzo della utility gemella FireMaster, sia mediante utilizzo di una wordlist, sia in forza bruta. Eccone uno Screenshot: FireMaster

Autore:

Le applicazioni mediche e la privacy? Il Garante non è per nulla convinto

Secondo il Garante italiano serve più trasparenza nell’uso dei dati degli utenti che scaricano app mediche in Italia. I risultati dell’indagine, avviata a maggio dal Garante Privacy per verificare il rispetto della normativa italiana sulla protezione dati da parte di applicazioni che utilizzano dati sanitari, mostrano come anche nel nostro Paese gli utenti non siano […]