id: Гость   вход   регистрация
текущее время 11:43 29/03/2024
Автор темы: Serghan, тема открыта 29/03/2007 19:43 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/НадёжностьМастер-пароляВБраузереMozillaFirefox
создать
просмотр
ссылки

Надёжность мастер-пароля в браузере Mozilla Firefox


Насколько можно оценить безопасность данных (пароли например) которые зашифрованы мастер-паролем в Mozilla Firefox?
Какой алгоритм шифрования, длинна ключа, хеш-функция применяется в реализации? С справки Firefox почему-то об этом нигде не упомянуто.


 
Комментарии
— SATtva (29/03/2007 21:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Где-то год назад сам интересовался этим вопросом. К сожалению, даже в форумах и справочной документации на официальном сайте не нашёл вразумительного ответа (подозреваю, что мог просто довольно поверхностно искать, поскольку, например, в документацию разработчиков и исходный код не заглядывал). Где-то попадались ссылки на Twofish и SHA-1 с привязкой, но насколько релевантными были эти сведения сейчас сказать затрудняюсь.

Вообще, учитывая потенциальную дырявость любого браузера, серьёзные секреты встроенному хранителю паролей я бы доверять не стал (собственно, и не доверяю). Так, логины-пароли к форумам, где не имею высоких полномочий, да и только.
— spinore (30/03/2007 11:18)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
В любом случае, если обнаруживают уязвимость позволяющую выполнить произвольный код, то мастерпароль не спасёт с любым алгоритмом шифрования.
— SATtva (30/03/2007 11:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не обязательно. Хранитель паролей Mozilla позволяет шифровать свою базу данных, и если single sign-on или кэширование мастер-пароля не используется, то компрометация браузера не должна непременно привести к компрометации паролей. (Теоретически, при успешном исполнении произвольного кода нападающий может сымитировать легитимный запрос на ввод мастер-пароля, и если пользователь "поведётся", всё-таки получить расшифрованную базу.)

Конечно, если пользователь работает в интернете с административными или рут-полномочиями, так что исполнение произвольного кода в браузере позволяет злоумышленнику установить троян, то его вообще ничто не спасёт, даже Password Safe или PGP.
— Федор (06/04/2007 14:27)   <#>
Вышла статья на securitylab.ru
"Механизмы управления паролями в IE и Firefox. Часть первая."
http://www.securitylab.ru/analytics/293884.php
— SATtva (06/04/2007 15:25, исправлен 06/04/2007 15:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Опередили, как раз хотел дать ссылку. Это перевод прошлогодней статьи "Password Management Concerns with IE and Firefox" (part one, part two) из Securityfocus. Читать оригинал предпочтительней.
— Федор (11/04/2007 13:06)   <#>
Вышла вторая часть статьи на securitylab.ru
"Механизмы управления паролями в IE и Firefox, часть вторая"
http://www.securitylab.ru/analytics/294067.php
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3