НОВОСТИ Firefox раздает сохраненные пароли всем желающим

Собака

Легенда форума
МОДЕРАТОР
Проверка схем заработка
ПРЕССА ФОРУМА
Дипломат

Собака

Легенда форума
МОДЕРАТОР
Проверка схем заработка
ПРЕССА ФОРУМА
Дипломат
Регистрация
4 Июн 2019
Сообщения
4,115
Реакции
676
Репутация
190
Сохранённые пароли в Firefox можно копировать в обход мастер-пароля. Эксплуатировать уязвимость возможно только при наличии локального доступа.

Утащить кота в мешке

Менеджер паролей браузера Firefox позволял обходить собственную основную защиту — мастер-пароль.


Мастер-пароль требуется ввести прежде чем пользователь может получить доступ к своим сохранённым логинам и паролям. Логины в списке будут видны сразу, а пароли - только после ввода мастер-пароля. Однако, как выяснилось, из-за программного недочёта пользователь мог кликнуть по соответствующему логину правой кнопкой мыши и выбрать опцию «Скопировать пароль», после чего пароль копировался без ввода мастер-пароля.


В версии Firefox 68.0.2 это исправлено, теперь скопировать пароль просто так не получится.


Менеджер паролей Firefox - опциональный инструмент, однако по умолчанию он в браузере активирован. При этом мастер-пароль не установлен, так что все сохранённые пароли будут видны сразу, без дополнительных условий, что делает его практически бесполезным.

Посторонним в...

Менеджеры паролей тем или иным образом сегодня реализованы во всех браузерах. Google Chrome под Windows 10 по умолчанию требует пароль к текущей учётной записи пользователя; что касается Edge, то он глубоко интегрирован в операционную систему, так что сохранённые в нём пароли доступны там же, где и остальная информация об учётной записи текущего пользователя.



Сохранение паролей в «дырявом» менеджере в Firefox включено по умолчанию

По умолчанию пароли скрыты, и для того, чтобы просмотреть их, также потребуется вводить пароль к учётной записи. Менеджер паролей Firefox отличается именно возможностью собственного мастер-пароля.


«Менеджер паролей - наиболее рекомендуемый метод хранения паролей для доступа к сетевым ресурсам: они хранятся в зашифрованном виде, так что прочитать их можно только зная мастер-пароль, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Описываемый сценарий реализуем только тогда, когда у злоумышленника уже есть локальный доступ к чужой машине, а учитывая, что в большинстве случаев в браузерах включена функция автозаполнения, устранённая ошибка в Firefox мало на что влияла. Куда более важно - не допускать посторонних к своей учётной записи».
 

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Апр 2019
Сообщения
1,618
Реакции
112
Репутация
0
Род занятий

Готовые кошельки, Дебетовые карты

ГАРАНТ
1

Даже не знал об этой уязвимости пока пользовался
 
Сверху