Полезная информация

Будьте в курсе последних изменений в мире Mozilla, следя за нашим микроблогом в Twitter.

№119-03-2018 10:52:26

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9308
UA: Seamonkey 2.14

Ох как сочно!

отсюда https://www.securitylab.ru/news/492180.php

На протяжении последних девяти лет Mozilla использовала в своей функции «мастер-пароль» недостаточно надежное шифрование.

В Firefox и Thunderbird предусмотрена функция, позволяющая пользователям устанавливать мастер-пароль, играющий роль криптографического ключа для шифрования каждого пароля, сохраненного в браузере или почтовом клиенте. Данная функция получила хорошие отзывы ИБ-экспертов, поскольку без нее браузеры сохраняют пароли локально в незашифрованном виде, оставляя их уязвимыми для вредоносного ПО или хакеров с физическим доступом к компьютерам жертв. Однако по словам создателя AdBlock Plus Владимира Паланта (Wladimir Palant), используемый функцией механизм шифрования ненадежен и может быть легко взломан с помощью брутфорса.

В ходе анализа исходного кода Палант обнаружил функцию sftkdb_passwordToKey(), преобразовывающую пароли в ключи шифрования, применяя хеширование SHA-1 к строке, состоящей из самого мастер-пароля и произвольных символов (соли). По словам исследователя, здесь и кроется проблема.

Счетчик цикла функции SHA-1 равен единице. Это значит, что она применяется только один раз, тогда как рекомендованным значением является 10000 (к примеру, в LastPass счетчик цикла равен 100000). Столь низкое значение существенно облегчает работу хакерам, которые могут осуществить брутфорс-атаку, расшифровать мастер-пароль, а затем и все зашифрованные с его помощью пароли.

Палант – не первый исследователь, обнаруживший данную проблему. Еще девять лет назад о ней сообщил Джастин Долске (Justin Dolske) сразу же после появления функции «мастер-пароль». Тем не менее, Mozilla не исправляла уязвимость до тех пор, пока недавно о ней снова не напомнил Палант. Как сообщили в компании, проблема будет исправлена с выходом нового компонента для функции «мастер-пароль» под кодовым названием Lockbox.

9 лет молчали! красавы!
Жду комментариев главного адепта опенсорса и миллионов глаз борца за безопасность с конфигом и любителя федоры.
ну и остальные тоже могут высказаться только не забывайте про п 3.3 правил.;)


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№219-03-2018 11:49:50

Журавлёва
Участник
 
Группа: Members
Зарегистрирован: 10-07-2016
Сообщений: 129
UA: Chrome 65.0

Re: Ох как сочно!

Не молчали они, а сказали, ещё 9 лет назад, "сообщил Джастин Долске".
А сейчас, Палант сказал, что можно "легко взломать брутфорсом", проснулся, открыл Америку.....
Насчёт "легко" это очевидная заведомая лапша, ибо, для такого брутфорса нужны большие мощности и длительное время.
Причём, и первое и второе, не даёт никаких гарантий.

Отредактировано Журавлёва (19-03-2018 11:52:36)

Отсутствует

 

№319-03-2018 12:40:30

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9308
UA: Seamonkey 2.14

Re: Ох как сочно!

кому сказали? разрабам? и что толку?
9 лет пользователи пользуются уязвимым продуктом потому что мозилловцы забили на исправление и просто не сообщают об уязвимости юзеру.
насчет брутфорса и мощностей если пароль не совсем упоротопаранодальный в полсотни символов то вполне себе ломается и за вполне приемлемое время с таким то ослаблением.
и не забываем что брутфорс это не только посимвольный перебор но и использование словарей и прочих хитростей ускоряющих процесс.
ну а то что за 9 лет не добавили несколько нолей  наводит на мысли что сделано это было сознательно.ну и не забываем впиленную в синхронизацию когда все данные лежат у мозилловцев, ломай не хочу.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№419-03-2018 12:59:13

Журавлёва
Участник
 
Группа: Members
Зарегистрирован: 10-07-2016
Сообщений: 129
UA: Chrome 65.0

Re: Ох как сочно!

okkamas_knife пишет:

...если пароль не совсем упоротопаранодальный в полсотни символов то вполне себе ломается и за вполне приемлемое время с таким то ослаблением.

Ломается пароль в 50 символов?
Попробуйте заказать платную расшифровку такого пароля, просто послушайте, что вам скажут в ответ, в платном брутфорсе, у профессионалов..
Линк не даю, чтобы не делать рекламы.

Отсутствует

 

№519-03-2018 15:05:38

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9308
UA: Seamonkey 2.14

Re: Ох как сочно!

отвечаем не читая или не понимая смысла написанного, лишь бы ответить.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№619-03-2018 17:33:23

Журавлёва
Участник
 
Группа: Members
Зарегистрирован: 10-07-2016
Сообщений: 129
UA: Chrome 65.0

Re: Ох как сочно!

okkamas_knife пишет:

отвечаем не читая или не понимая смысла написанного, лишь бы ответить.

Если вникнуть, то, вы написали, что с перебором словарей.
Как вы представляете применение словарей в расшифровке 50-символьного пароля? На что там могут повлиять эти словари?
Далее, по сабжу, 9 лет никто и никогда нигде не жаловался на взлом мозильного пароля, ни на одном форуме хакеров этого никогда не звучало и даже сам вопрос не поднимался.
Следовательно, вся проблема надумана, притянута за уши и высосана из пальца, ибо, 9 лет это достаточный срок, чтобы понять факт наличия\отсутствия проблемы.
Вот, эти все вышесказанные слова "ломай не хочу" "легко сломать", это обычные пугалки для тех, кто не в теме.
Вы, сами-то, попробуйте придумать пароль, а потом его сломать, когда вы это начнете, то, там программа вам укажет примерное требуемое время, может пару тысячелетий, может только одно, а может и все десять.
А если 50 символов, то вообще, времени не хватит, уже человечество исчезнет..

Отредактировано Журавлёва (19-03-2018 17:37:09)

Отсутствует

 

№719-03-2018 17:38:45

sonyas75
Участник
 
Группа: Members
Откуда: Ставрополь
Зарегистрирован: 22-03-2011
Сообщений: 358
UA: Firefox 57.0

Re: Ох как сочно!

даа-а? а если не пару тысячелятий, а всего-навсего 347 лет? то что тогда делать, а? а если не 50-символов в пароле, а только 46? над этим подумали? это же угроза, да еще какая! я бы даже сказал - дыра, не - дырень, дырыща просто!

Отсутствует

 

№819-03-2018 19:03:08

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9308
UA: Seamonkey 2.14

Re: Ох как сочно!

да не обращайте внимания, человек разговаривает сам с собой, отвечая на свои фантазии и не удосужившись внимательно прочитать моё сообщение даже после прозрачного намёка.
либо пользуется переводчиком который сжирает конструкцию "если не"
и таки основной посыл новости в том что пользователей 9 лет намеренно не информировали об уязвимости.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№919-03-2018 19:10:27

Журавлёва
Участник
 
Группа: Members
Зарегистрирован: 10-07-2016
Сообщений: 129
UA: Chrome 65.0

Re: Ох как сочно!

okkamas_knife пишет:

и таки основной посыл новости в том что пользователей 9 лет намеренно не информировали об уязвимости.

Основной посыл это Виндоус 10, на которую переводят Планету Земля.
Там всё, начиная от паролей и кончая нажатием клавиш, всё отправляется в инет, включая микрофон и камеру.
Ну просто, улыбаться хочется от чьей-то наивности, что после всего перечисленного, кто-то боится потерять пароль от мозиллы, ссылаясь на уязвимость 9-ти летней давности.
Это как "вчера вешался, а сегодня простудиться боишься".

Отредактировано Журавлёва (19-03-2018 19:11:10)

Отсутствует

 

№1019-03-2018 20:01:53

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9308
UA: Seamonkey 2.14

Re: Ох как сочно!

как у вас всё запущено то...


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.

Отсутствует

 

№1119-03-2018 20:09:55

Журавлёва
Участник
 
Группа: Members
Зарегистрирован: 10-07-2016
Сообщений: 129
UA: Chrome 65.0

Re: Ох как сочно!

Добавьте в название топика слово "РЕШЕНО".

Отсутствует

 

№1219-03-2018 21:48:54

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4239
UA: Firefox 56.0

Re: Ох как сочно!

Журавлёва пишет:

Добавьте в название топика слово "РЕШЕНО".

«РЕШЕТО» же.
Странные диалоги...
И еще более странно, когда оправдывают халатность в отношении безопасности по принципу «ну это же не так и важно». Там параметр вызова функции хэширования поменять – и стойкость возрастет на порядки. А товарищи разработчики мусолят девять лет.
Еще в новости не хватает насчет известных уязвимостей несколько устаревшего 3DES, позволяющих упростить подбор пароля.


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№1319-03-2018 23:06:03

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4591
UA: Firefox 52.0
Веб-сайт

Re: Ох как сочно!

Вот балбесы )-:Е
Ну ладно, всё равно скоро с ESR придётся слезать.


Ядрёная консоль делает меня сильней!

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2011 Mozilla Russia
Язык отображения форума: [Русский] [English]