Búsqueda rápida
ArchivoExiste el robo de contraseñas de Firefox?
Por Nico. 9 comentarios. Guardado en Opinión, SeguridadTiempo atrás les habÃÂa comentado acerca de una vulnerabilidad en el robo de contraseñas en Firefox 2.0.0.1. El artÃÂculo en cuestión es el siguiente:
Robo de contraseñas de Firefox 2.0.0.1
En aquel entonces desde Mozilla habÃÂan dado una solución temporal para solucionar el problema que consistÃÂa en agregar la siguiente clave en about:config:
signon.prefillForms
Y asignarle el valor False, para evitar el robo de las contraseñas. Supuestamente este fallo se iba a solucionar en la versión 2.0.0.2, que al final no solucionó totalmente el presunto problema. Pero con aplicar lo anterior, ya estaba solucionado.
Hasta ahora el tema habÃÂa quedado atrás. Pero hace unos dÃÂas fue noticia nuevamente el hecho de que la vulnerabilidad sigue sin ser solucionada en Firefox 2.0.0.5. La noticia aparecó por todos lados, incluso en Meneame. Algunas referencias son las siguientes:
A raÃÂz de un e-mail que recibÃÂ de JMiur de Vagabundia sobre el tema, fue que lo estuvimos viendo para ver si realmente esto se trata de una vulnerabilidad o si se trata de un “truco de magia barato” como el lo denominaba.
Veamos la demostracón que nos proponen realizar:
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml
Se trata de llenar los campos de usuario y contraseña del formulario de la página y luego abrir una llamada “evil page” que mostrará una alerta revelando el usuario y contraseña que hemos ingresado.
No hay dudas de que la demostracón realiza esto en caso de que hayamos indicado a Firefox que recuerde nuestra contraseña el momento de ingresarla. Sin embargo la demostracón se está realizando en el mismo dominio y subdominio. Que sentido tiene esto si estamos en el mismo sitio? Acaso el sitio se roba a su propio sitio?
Al entrar a cualquier página que no utiliza conexión segura, si vamos a la información de página de Firefox (Herramientas - Informacón de la página), en la pestaña Seguridad veremos el siguiente mensaje indicando que nuestra información se está enviando sin cifrar:
Ahora veamos el código del formulario de la demostracón:
<input type=”text” name=”name”/>
<input type=”password” name=”password”/>
<input type=”submit” value=”submit”/>
</form>
Si vemos el código fuente de la “evil page“, vemos un formulario similar con los mismos nombres de campos que el anterior.
Al ingresar los datos en el formulario de la demostracón, se verá la siguiente URL tanto en Firefox como en Opera y IE7:
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml?
name=miusuario&password=micontrase%F1a#
Para que es necesaria una “evil page” que revele las contraseñas si estas están siendo ya reveladas en la URL? Solo vean la barra de direcciones.
Por otro lado, yo me pregunto: acaso algún sitio serio va a implementar un sistema de contraseñas sin utilizar SSL? Es una locura, además serÃÂa responsabilidad del sitio que lo implementa y no del navegador. Ningún sitio en serio implementará contraseñas de ese tipo.
También me pregunto: es esta una demostracón real o un simple truco? La demo corre en el mismo dominio y mismo subdominio. Si creamos una “evil page” en otro servidor, la demostracón no funcionará.
Firefox simplemente está recordando las contraseñas del dominio en el que nos encontramos, y nos indica que estamos ante una conexión no segura. Si nosotros elegimos ingresar los datos en un sitio web, es absurdo pensar que el mismo sitio nos está robando los datos, si se trata del mismo sitio.
Esto solo podrÃÂa ser un problema en caso de que el sitio entero sea maligno, aunque también sabrÃÂamos que estamos en una conexión no segura, y por otro lado eso ya serÃÂa una variante de phishing.
Soy partidario de que la próxima versión de Firefox incluya la funcionalidad de la extensión Secure Login para todos los formularios. Pero a mi entender esto no representa una vulnerabilidad de Firefox y mucho menos algo que se pueda decir grave, además de que hay una forma de solucionarlo como he mostrado anteriormente. Firefox tiene vulnerabilidades (más de las que conocemos), pero no me parece que este sea el caso.
Aunque digan que ” simplemente’¦ nos da la risa” no se ha indicado al menos la solución indicada en este artÃÂculo ni realizado (a mi opinón, me atajo) un análisis completo del presunto problema. Pocos detalles, mucho sensacionalismo, muchas referencias, artÃÂculo meneado y copypaste de otros blogs a estos artÃÂculos mencionados sin detenerse a ver de que se trata. Un teléfono descompuesto que en lugar de informar, desinforma…
Actualización: Vulnerabilidades de pacotilla
Actualización (26.07.2007): Recomiendo el siguiente artÃÂculo realizado mucho tiempo atrás por Nukeador para quienes no les haya quedado claro el tema, y de paso también, a quienes insisten y acusan de rasgarse las vestiduras (no me extraña si también les daba risa el tema ^^) a quienes tenemos otra visón de una presunta vulnerabilidad que incluso los mismos desarrolladores la ponen en duda de si es o no. Ver a continuación:
Y para rematar, el artÃÂculo que he realizado mucho tiempo atrás, cuando comenté sobre el tema, hace ya meses e indicando una solución a este apocalÃÂptico problema:
Robo de contraseñas en Firefox 2.0.0.1
En lugar de responder descalificaciones, me iré tranquilamente, no sin antes desactivar el gestor de contraseñas de Firefox. No sea cosa de que a cada sitio que entre un hacker haya introducido un script malicioso y se robe todas mis contraseñas (no será una vulnerabilidad de los sitios que lo permitan? ^^).
Suscribete via email
RSS Feed
[...] Link to Article firefox Existe el robo de contraseñas de Firefox? » Posted at Zona Firefox - [...]
Que alguien más pruebe el Firefox 2.0.0.6 RC1 (si no lo han actualizado ya a una versión más actual) y compruebe como yo que esto ya lo han resuelto. http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2.0.0.6-candidates/
Yo no guardo las contraseñas, pero librarse de los keyloggers que tenemos en muchas bibliotecas o centros de internet, como si el no mostrar nuestra IP nos librara de algo -no se extrañen, compruébenlo si saben o pueden- o incluso el malware nos siguen haciendo vulnerables en este aspecto. Aún asàseguimos cambiando nuestra contraseña, haciéndola más larga, añadiendo distintos caractéres, minúsculas/mayúsculas. Con todo hay sitios oficiales que recopilan información de papel personal y no se dignan en poner barreras seguras de acceso, bueno sàun cartelito que reza “sitio optimizado para IE6″ ja y ja.
Saludos
Saludos.
Y hace meses y meses que hice un análisis similar del problema explicando porque NO es un problema grave aunque en muchos sitios lo quieran calificar asÃÂ.
http://www.nukeador.com/20/12/2006/gestion-de-contrasenas/
[...] ¿Existe el robo de contraseñas de Firefox?www.zonafirefox.net/2007/07/existe-el-robo-de-contrasenas-de… por manwy hace pocos segundos [...]
[...] través de menéame, llegué a leer un artÃÂculo en el que intentan minimizar el impacto de la vulnerabilidad que permite el robo de contraseñas en [...]
Gracias noctuido por el aporte. Para mi no existe demasiado peligro en esto ya que es en el mismo dominio. Me parece tonto pensar en algo apocalÃÂptico. Pero lamentablemente hay quienes siguen difundiendo lo contrario a base de seguir mareando a la gente. Por suerte la próxima versión no dará lugar a la menor duda. Como si no supiera lo que es el XSS
Por lo que vi, tuviste un dÃÂa agitado
Algo asi
Al fin y al cabo es como siempre, te arrepentÃÂs de haberlo publicado porque ya sabes lo que genera y no vas a cambiar nada. Pero como soy reacio y no puedo con mi genio, lo volveré a hacer ^^
[...] fuera las controversias que ha causado una vulnerabilidad en Firefox (sabiamente explicada en Vagabundia) recientemente y por supuesto, la falta de actualización [...]