Il browser Firefox è affetto da un bug nella gestione della funzionalità nota come “password principale”, un problema vecchio di nove anni che mette a rischio la sicurezza della “master password” usata dagli utenti ma potrebbe essere facilmente risolto dagli sviluppatori di Mozilla. Qualora ne avessero la voglia.
A svelare l’esistenza del baco è stato Wladimir Palant , sviluppatore già noto per aver realizzato il popolare adblocker noto come AdBlock Plus . Gli utenti possono servirsi di una password principale alla stessa stregua dei password manager esterni, proteggendo il database delle password di Firefox con una parola chiave univoca a tutto vantaggio della praticità d’uso per chi non gode di buona memoria.
Ma stando a Palant la master password di Firefox è insicura , visto che Mozilla ha deciso di usare una singola iterazione di hashing tramite algoritmo SHA-1 nel processo di generazione della chiave crittografica da usare per proteggere il database delle password.
Vista la potenza del moderno hardware informatico – e delle GPU in particolare – una singola iterazione SHA-1 non è sufficiente, ha spiegato Palant, considerando che un attacco a forza bruta potrebbe compromettere la master password in appena qualche minuto di calcolo intensivo in tecnologia GPGPU.
Mozilla dovrebbe quindi usare “almeno 100.000 iterazioni” per generare una chiave a prova di attacco a forza bruta, ha suggerito Palant, ma forse la corporation di Firefox ha obiettivi diversi per il prossimo futuro : Lockbox, un password manager collegato alla registrazione di un Account Mozilla, dovrebbe presto uscire dalla fase sperimentale per entrare a far parte del novero di funzionalità del browser open source.
Mozilla lavora per la sicurezza delle comunicazioni Web degli utenti che a questi piaccia o meno , e in tal senso va intesa anche l’esperimento di utilizzo di una tecnologia chiamata DNS-Over-HTTPS: le richieste ai server DNS viaggiano al momento non protette, ma sfruttando un canale HTTPS cifrato si potrebbe ovviare a questo inconveniente. Il server di test usato da Mozilla verrà ospitato sul network CDN di Cloudflare, anche se la corporation rassicura gli utenti sul rispetto della riservatezza della loro navigazione.
Alfonso Maruccia