Quando firefox diventa pericoloso…

Q

Siamo stati abituati a ritenere Firefox (probabilmente a ragione) il prodotto per la navigazione web più sicuro attualmente disponibile; abituati infatti ai continui problemi di sicurezza legati ad Internet Explorer, oltre che ai continui subissamenti di banner e spyware correlati all’utilizzo smodato di activex, Firefox appare sicuramente una soluzione pulita e gradevole, oltre che incommensurabilmente più sicura e veloce.
Come in ogni ambito, però, (come non smetto mai di sottolineare in
ogni mia conferenza) anche nell’informatica la sicurezza non è un prodotto, ma un processo:
è perfettamente possibile che errate impostazioni ed errati
comportamenti possano comportare vaste problematiche di sicurezza e lesione della privacy.
Anche nel caso di del browser perferito da molti (me compreso) esiste per lo meno una funzionalità di cui la maggior parte degli utenti abituati ad Explorer non è a conoscenza e che potrebbe riservare qualche piccola preoccupazione: il sistema di Password Storing.
Per convenienza dell’utente, infatti, Firefox ha la possibilità di registrare username e password per i siti ad accesso più frequente. Al contrario però di Internet Explorer ha anche la possibilità di mostrare direttamente utente e password a chiunque ne faccia richiesta.
Se infatti selezioniamo il menu “Tools / Options / Privacy / Passwords” possiamo notare la schermata principale del pannello di gestione passwords:
Il Pannello di controllo Password
Se selezioniamo l’opzione “View Saved Passwords” veniamo indirizzati alla inquetante schermata qui sotto, che mostra in chiaro direttamente tutti i nomi utenti e passwords registrati dal primo utilizzo:
Le password in chiaro
A questo punto è semplice capire come qualunque utente che abbia anche sporadicamente accesso al nostro PC possa in pochi istanti impadronirsi del completo set delle nostre credenziali, cosa che soprattutto in un ambito di lavoro condiviso come può essere un ufficio potrebbe essere sicuramente fonte di imbarazzo o pericolo.
Non è necessario, però, ricadere in facili allarmismi. Esiste una opzione di Firefox che protegge questo “portachiavi riservato” con una password che verrà richiesta al primo utilizzo delle credenziali.
Sempre dalla schermata principale, infatti, è possibile selezionare “Set Master Password” per impostare questo codice che proteggerà le nostre credenziali da occhi indiscreti…
Settaggio della Master Password
Non volendo criticare più di tanto una scelta di comodità
come quella di non costringere l’utente ad inserire credenziali ogni
avvio di navigazione, ci pare però corretto segnalare questo tipo di
problematica a chi necessiti di un grado di sicurezza maggiore di
quello fornito dalla installazione standard.
ADDENDUM:
Sempre che anche un utente malintenzionato che abbia accesso in qualunque modo alla macchina protetta possa recuperare il file e decrittarlo mediante un comodo e pratico Tool che prende il nome di FirePassword.
Il programma utilizza i seguenti files contenuti nella directory del Profile di Firefox:
* signons.txt (elenco username, siti e password crittate)
* key3.db (la chiave di cifratura)
Eccone un esempio di utilizzo:
FirePassword
Nel caso in cui il portachiavi sia protetto da password è anche possibile forzare la password di cifratura mediante utilizzo della utility gemella FireMaster, sia mediante utilizzo di una wordlist, sia in forza bruta.
Eccone uno Screenshot:
FireMaster

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.