Полезная информация
№119-03-2018 10:52:26
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9558
- UA:
2.14
Ох как сочно!
отсюда https://www.securitylab.ru/news/492180.php
На протяжении последних девяти лет Mozilla использовала в своей функции «мастер-пароль» недостаточно надежное шифрование.
В Firefox и Thunderbird предусмотрена функция, позволяющая пользователям устанавливать мастер-пароль, играющий роль криптографического ключа для шифрования каждого пароля, сохраненного в браузере или почтовом клиенте. Данная функция получила хорошие отзывы ИБ-экспертов, поскольку без нее браузеры сохраняют пароли локально в незашифрованном виде, оставляя их уязвимыми для вредоносного ПО или хакеров с физическим доступом к компьютерам жертв. Однако по словам создателя AdBlock Plus Владимира Паланта (Wladimir Palant), используемый функцией механизм шифрования ненадежен и может быть легко взломан с помощью брутфорса.
В ходе анализа исходного кода Палант обнаружил функцию sftkdb_passwordToKey(), преобразовывающую пароли в ключи шифрования, применяя хеширование SHA-1 к строке, состоящей из самого мастер-пароля и произвольных символов (соли). По словам исследователя, здесь и кроется проблема.
Счетчик цикла функции SHA-1 равен единице. Это значит, что она применяется только один раз, тогда как рекомендованным значением является 10000 (к примеру, в LastPass счетчик цикла равен 100000). Столь низкое значение существенно облегчает работу хакерам, которые могут осуществить брутфорс-атаку, расшифровать мастер-пароль, а затем и все зашифрованные с его помощью пароли.
Палант – не первый исследователь, обнаруживший данную проблему. Еще девять лет назад о ней сообщил Джастин Долске (Justin Dolske) сразу же после появления функции «мастер-пароль». Тем не менее, Mozilla не исправляла уязвимость до тех пор, пока недавно о ней снова не напомнил Палант. Как сообщили в компании, проблема будет исправлена с выходом нового компонента для функции «мастер-пароль» под кодовым названием Lockbox.
9 лет молчали! красавы!
Жду комментариев главного адепта опенсорса и миллионов глаз борца за безопасность с конфигом и любителя федоры.
ну и остальные тоже могут высказаться только не забывайте про п 3.3 правил.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
№219-03-2018 11:49:50
Re: Ох как сочно!
Не молчали они, а сказали, ещё 9 лет назад, "сообщил Джастин Долске".
А сейчас, Палант сказал, что можно "легко взломать брутфорсом", проснулся, открыл Америку.....
Насчёт "легко" это очевидная заведомая лапша, ибо, для такого брутфорса нужны большие мощности и длительное время.
Причём, и первое и второе, не даёт никаких гарантий.
Отредактировано Журавлёва (19-03-2018 11:52:36)
Отсутствует
№319-03-2018 12:40:30
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9558
- UA: 2.14
Re: Ох как сочно!
кому сказали? разрабам? и что толку?
9 лет пользователи пользуются уязвимым продуктом потому что мозилловцы забили на исправление и просто не сообщают об уязвимости юзеру.
насчет брутфорса и мощностей если пароль не совсем упоротопаранодальный в полсотни символов то вполне себе ломается и за вполне приемлемое время с таким то ослаблением.
и не забываем что брутфорс это не только посимвольный перебор но и использование словарей и прочих хитростей ускоряющих процесс.
ну а то что за 9 лет не добавили несколько нолей наводит на мысли что сделано это было сознательно.ну и не забываем впиленную в синхронизацию когда все данные лежат у мозилловцев, ломай не хочу.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
№419-03-2018 12:59:13
Re: Ох как сочно!
...если пароль не совсем упоротопаранодальный в полсотни символов то вполне себе ломается и за вполне приемлемое время с таким то ослаблением.
Ломается пароль в 50 символов?
Попробуйте заказать платную расшифровку такого пароля, просто послушайте, что вам скажут в ответ, в платном брутфорсе, у профессионалов..
Линк не даю, чтобы не делать рекламы.
Отсутствует
№519-03-2018 15:05:38
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9558
- UA: 2.14
Re: Ох как сочно!
отвечаем не читая или не понимая смысла написанного, лишь бы ответить.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
№619-03-2018 17:33:23
Re: Ох как сочно!
отвечаем не читая или не понимая смысла написанного, лишь бы ответить.
Если вникнуть, то, вы написали, что с перебором словарей.
Как вы представляете применение словарей в расшифровке 50-символьного пароля? На что там могут повлиять эти словари?
Далее, по сабжу, 9 лет никто и никогда нигде не жаловался на взлом мозильного пароля, ни на одном форуме хакеров этого никогда не звучало и даже сам вопрос не поднимался.
Следовательно, вся проблема надумана, притянута за уши и высосана из пальца, ибо, 9 лет это достаточный срок, чтобы понять факт наличия\отсутствия проблемы.
Вот, эти все вышесказанные слова "ломай не хочу" "легко сломать", это обычные пугалки для тех, кто не в теме.
Вы, сами-то, попробуйте придумать пароль, а потом его сломать, когда вы это начнете, то, там программа вам укажет примерное требуемое время, может пару тысячелетий, может только одно, а может и все десять.
А если 50 символов, то вообще, времени не хватит, уже человечество исчезнет..
Отредактировано Журавлёва (19-03-2018 17:37:09)
Отсутствует
№719-03-2018 17:38:45
Re: Ох как сочно!
даа-а? а если не пару тысячелятий, а всего-навсего 347 лет? то что тогда делать, а? а если не 50-символов в пароле, а только 46? над этим подумали? это же угроза, да еще какая! я бы даже сказал - дыра, не - дырень, дырыща просто!
Отсутствует
№819-03-2018 19:03:08
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9558
- UA: 2.14
Re: Ох как сочно!
да не обращайте внимания, человек разговаривает сам с собой, отвечая на свои фантазии и не удосужившись внимательно прочитать моё сообщение даже после прозрачного намёка.
либо пользуется переводчиком который сжирает конструкцию "если не"
и таки основной посыл новости в том что пользователей 9 лет намеренно не информировали об уязвимости.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
№919-03-2018 19:10:27
Re: Ох как сочно!
и таки основной посыл новости в том что пользователей 9 лет намеренно не информировали об уязвимости.
Основной посыл это Виндоус 10, на которую переводят Планету Земля.
Там всё, начиная от паролей и кончая нажатием клавиш, всё отправляется в инет, включая микрофон и камеру.
Ну просто, улыбаться хочется от чьей-то наивности, что после всего перечисленного, кто-то боится потерять пароль от мозиллы, ссылаясь на уязвимость 9-ти летней давности.
Это как "вчера вешался, а сегодня простудиться боишься".
Отредактировано Журавлёва (19-03-2018 19:11:10)
Отсутствует
№1019-03-2018 20:01:53
- okkamas_knife
- We are the Borg. Resistance is futile.
- Группа: Members
- Зарегистрирован: 21-10-2009
- Сообщений: 9558
- UA: 2.14
Re: Ох как сочно!
как у вас всё запущено то...
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
№1219-03-2018 21:48:54
- Infocatcher
- Not found
- Группа: Extensions
- Зарегистрирован: 24-05-2007
- Сообщений: 4339
- UA:
56.0
Re: Ох как сочно!
Добавьте в название топика слово "РЕШЕНО".
«РЕШЕТО» же.
Странные диалоги...
И еще более странно, когда оправдывают халатность в отношении безопасности по принципу «ну это же не так и важно». Там параметр вызова функции хэширования поменять – и стойкость возрастет на порядки. А товарищи разработчики мусолят девять лет.
Еще в новости не хватает насчет известных уязвимостей несколько устаревшего 3DES, позволяющих упростить подбор пароля.
Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела
Отсутствует
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]