Altro problema col password manager

Della serie: "quando ne arriva uno poi ne arrivano altri cento", ecco che dopo i bug segnalati nella scorsa settimana si ripresenta di nuovo un problema col password manager interno. La vulnerabilità è molto simile a quella segnalata da Chapin e che affligeva la versione 2.0 del browser di casa Mozilla (risolta nella versione 2.0.03).

Secondo quanto riportato da Heise-Security è difatti possibile, usando del codice javascript, forzare Firefox a completare i campi di login in una pagina ospitata sullo stesso server In altre parole, questo può essere sfruttato in siti come Myspace o similari per creare una pagina per il furto delle credenziali d'accesso all'account.

I siti dove tale vulnerabilità può essere sfruttata sono dunque relativamente pochi, ma occorre fare molta attenzione. . In ogni caso richiedendo codice Javascript per essere attivata è meno grave di quella precedentemente riportata, in quanto l'inserimento di codice Javascript è solitamente bloccato all'interno dei server stessi per ovvi motivi di sicurezza.

La cosa migliore sarebbe quella di non memorizzare mai le password, ma è anche vero che molti non seguono questa sana precauzione preferendo il salvataggio dei dati di autentificazione nel password manager. Io personalmente, è da un po' che utilizzo l'estensione PasswordMaker che permette la creazione di password a partire da un'unica master password, questa soluzione però impone di dover modificare tutte le password utilizzate nei vari siti/forum.

Un'altra ottima soluzione è utilizzare l'estensione Secure Login, che blocca l'autocompletamento dei campi di login e vi dà la possibilità di eseguire l'accesso semplicemente cliccando nell'iconcina sistemata nella barra di stato (od opzionalmente nella barra degli strumenti). L'estensione supporta il multi utente ed è molto comoda, nonchè sicura, se decidete di memorizzare le password nel gestore interno di Firefox.

Qui trovate la pagina con il proof of concept della vulnerabilità.

0 Responses to “Altro problema col password manager”


  • No Comments

Leave a Reply