Alfonso Maruccia

Mozilla Firefox tra bug e DNS sicuri

Lo sviluppatore di un popolare adblocker evidenzia l'esistenza di baco vecchio di anni in Firefox, mentre Mozilla pensa ai test per le comunicazioni DNS sicure attraverso un canale HTTPS

Roma - Il browser Firefox è affetto da un bug nella gestione della funzionalità nota come "password principale", un problema vecchio di nove anni che mette a rischio la sicurezza della "master password" usata dagli utenti ma potrebbe essere facilmente risolto dagli sviluppatori di Mozilla. Qualora ne avessero la voglia.

A svelare l'esistenza del baco è stato Wladimir Palant, sviluppatore già noto per aver realizzato il popolare adblocker noto come AdBlock Plus. Gli utenti possono servirsi di una password principale alla stessa stregua dei password manager esterni, proteggendo il database delle password di Firefox con una parola chiave univoca a tutto vantaggio della praticità d'uso per chi non gode di buona memoria.

Ma stando a Palant la master password di Firefox è insicura, visto che Mozilla ha deciso di usare una singola iterazione di hashing tramite algoritmo SHA-1 nel processo di generazione della chiave crittografica da usare per proteggere il database delle password.
Vista la potenza del moderno hardware informatico - e delle GPU in particolare - una singola iterazione SHA-1 non è sufficiente, ha spiegato Palant, considerando che un attacco a forza bruta potrebbe compromettere la master password in appena qualche minuto di calcolo intensivo in tecnologia GPGPU.

Mozilla dovrebbe quindi usare "almeno 100.000 iterazioni" per generare una chiave a prova di attacco a forza bruta, ha suggerito Palant, ma forse la corporation di Firefox ha obiettivi diversi per il prossimo futuro: Lockbox, un password manager collegato alla registrazione di un Account Mozilla, dovrebbe presto uscire dalla fase sperimentale per entrare a far parte del novero di funzionalità del browser open source.

Mozilla lavora per la sicurezza delle comunicazioni Web degli utenti che a questi piaccia o meno, e in tal senso va intesa anche l'esperimento di utilizzo di una tecnologia chiamata DNS-Over-HTTPS: le richieste ai server DNS viaggiano al momento non protette, ma sfruttando un canale HTTPS cifrato si potrebbe ovviare a questo inconveniente. Il server di test usato da Mozilla verrà ospitato sul network CDN di Cloudflare, anche se la corporation rassicura gli utenti sul rispetto della riservatezza della loro navigazione.

Alfonso Maruccia
Notizie collegate
16 Commenti alla Notizia Mozilla Firefox tra bug e DNS sicuri
Ordina
  • io scrivo le mie password in un biglietto che appendo sul monitor
    non+autenticato
  • - Scritto da: Blogger
    > io scrivo le mie password in un biglietto che
    > appendo sul
    > monitor

    Beh tu sei un Bloggers e normalissimo. I Bloggers e risaputo che appendono tanti posIT dappertutto.

    Ma poi a dappertutto ci va l'apostrofo, o non ci va? Boh?
    non+autenticato
  • mai usate masterkey in tutta la mia vita!

    Le password non vanno memorizzate nei browser MAI!!!!!!!!

    Ma qui siete tutti infoiatici che ve lo dico a fare? Rotola dal ridere
    non+autenticato
  • - Scritto da: uno con la testa
    > mai usate masterkey in tutta la mia vita!
    >
    > Le password non vanno memorizzate nei browser
    > MAI!!!!!!!!
    >
    > Ma qui siete tutti infoiatici che ve lo dico a
    > fare?
    > Rotola dal ridere


    Nessuno qui memorizza le password nel browser.
    A parte l'applefan.
  • - Scritto da: panda rossa
    > - Scritto da: uno con la testa
    > > mai usate masterkey in tutta la mia vita!
    > >
    > > Le password non vanno memorizzate nei browser
    > > MAI!!!!!!!!
    > >
    > > Ma qui siete tutti infoiatici che ve lo dico a
    > > fare?
    > > Rotola dal ridere
    >
    >
    > Nessuno qui memorizza le password nel browser.
    > A parte l'applefan.

    si c'hanno muduli nel browser che tanto sono pieni di password, che poi usano backup su dropbox per depositare le loro liste di masterkey per tutti i servizi inutilia cui si registrano sul web.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: uno con la testa
    > > mai usate masterkey in tutta la mia vita!
    > >
    > > Le password non vanno memorizzate nei browser
    > > MAI!!!!!!!!
    > >
    > > Ma qui siete tutti infoiatici che ve lo dico a
    > > fare?
    > > Rotola dal ridere
    >
    >
    > Nessuno qui memorizza le password nel browser.
    > A parte l'applefan.

    Secondo me tutte le tue donne sono scappate con gente con l'iphone. Altrimenti non si spiega proprio.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: uno con la testa
    > > > mai usate masterkey in tutta la mia
    > vita!
    > > >
    > > > Le password non vanno memorizzate nei
    > browser
    > > > MAI!!!!!!!!
    > > >
    > > > Ma qui siete tutti infoiatici che ve lo
    > dico
    > a
    > > > fare?
    > > > Rotola dal ridere
    > >
    > >
    > > Nessuno qui memorizza le password nel
    > browser.
    > > A parte l'applefan.
    >
    > Secondo me tutte le tue donne sono scappate con
    > gente con l'iphone. Altrimenti non si spiega
    > proprio.

    ha ha ha ha ha, questa mi ha fatto davvero ridere!!!

    Stamattina ti trovo simpatico! Vorresti mica farmi fare un gemellaggio cicci ciccia, con la tua morosa? Che carinuccio.
    non+autenticato
  • - Scritto da: Orso yoogi
    > ha ha ha ha ha, questa mi ha fatto davvero
    > ridere!!!
    >
    > Stamattina ti trovo simpatico! Vorresti mica
    > farmi fare un gemellaggio cicci ciccia, con la
    > tua morosa? Che
    > carinuccio.

    mah, mi sento in imbarazzo per te, dopo che ho letto quel che hai scrittoPerplesso

    condoglianze
    non+autenticato
  • - Scritto da: bobo
    > - Scritto da: Orso yoogi
    > > ha ha ha ha ha, questa mi ha fatto davvero
    > > ridere!!!
    > >
    > > Stamattina ti trovo simpatico! Vorresti mica
    > > farmi fare un gemellaggio cicci ciccia, con la
    > > tua morosa? Che
    > > carinuccio.
    >
    > mah, mi sento in imbarazzo per te, dopo che ho
    > letto quel che hai scritto
    >Perplesso
    >
    > condoglianze

    Condoglianze accettate! Adesso se vuoi puoi suicidarti e morire.Sorride
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: uno con la testa
    > > > mai usate masterkey in tutta la mia
    > vita!
    > > >
    > > > Le password non vanno memorizzate nei
    > browser
    > > > MAI!!!!!!!!
    > > >
    > > > Ma qui siete tutti infoiatici che ve lo
    > dico
    > a
    > > > fare?
    > > > Rotola dal ridere
    > >
    > >
    > > Nessuno qui memorizza le password nel
    > browser.
    > > A parte l'applefan.
    >
    > Secondo me tutte le tue donne sono scappate con
    > gente con l'iphone. Altrimenti non si spiega
    > proprio.

    Poco probabile che una donna scappi con un gay...
    non+autenticato
  • > Secondo me tutte le tue donne sono scappate con
    > gente con l'iphone. Altrimenti non si spiega
    > proprio.

    Difficile che una donna scappi con un gay, almeno quanto credere che Panda Rossa possa avere rapporti con esseri diversi da un pinguino...
    non+autenticato
  • - Scritto da: ...
    > > Secondo me tutte le tue donne sono scappate con
    > > gente con l'iphone. Altrimenti non si spiega
    > > proprio.
    >
    > Difficile che una donna scappi con un gay, almeno
    > quanto credere che Panda Rossa possa avere
    > rapporti con esseri diversi da un
    > pinguino...

    Il gay e fiero di mostrare i suoi segni identificativi, vedete quella I sututto il giocattolame apple? Beh, quella I stà per Igay!!

    Il panda anche se abusa di un pinguino invece lo tiene per se, da buon cultore(rari ma ancora esistenti) della privacy.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: uno con la testa
    > > > mai usate masterkey in tutta la mia
    > vita!
    > > >
    > > > Le password non vanno memorizzate nei
    > browser
    > > > MAI!!!!!!!!
    > > >
    > > > Ma qui siete tutti infoiatici che ve lo
    > dico
    > a
    > > > fare?
    > > > Rotola dal ridere
    > >
    > >
    > > Nessuno qui memorizza le password nel
    > browser.
    > > A parte l'applefan.
    >
    > Secondo me tutte le tue donne sono scappate con
    > gente con l'iphone. Altrimenti non si spiega
    > proprio.

    Si ma non dormendoci e ripensandoci, mi sembrava che ci fosse qualcosa di strano. E certo! Ma tra questi Iphonati, proprio non c'era nessun winaro, col windoz Phonez?
    non+autenticato