Mezza bufala, le password e Firefox


C’è molto clamore in questi giorni su una vulnerabilità di Firefox che consentirebbe ad un sito malintenzionato di accedere alle password memorizzate su Firefox.

Non si tratta di una bufala, la vulnerabilità esiste veramente, ma secondo me il modo con cui tutti quanti la stanno raccontando può farla diventare una mezza bufala.

Secondo me infatti la gente che legge la notizia capisce che chiunque possa, con una certa facilità, mettendo su un sito malevolo, carpire qualsiasi delle password memorizzate in Firefox. Capirete il panico, la password della banca, quella del sito porno ehehe

In realtà il problema esiste ma è molto meno grave di quello che viene descritto.

Cerco di spiegare in maniera semplice come funziona.

Ecco le condizioni in cui la vostra password per un certo sito può essere rubata:

  • Per un certo sito avete memorizzato la password.
  • Il sito per il quale avete memorizzato la password permette a qualcuno diverso dall’amministratore del sito stesso di memorizzare pagine sullo stesso dominio. In pratica questo accade spesso per siti di community, myspace per esempio. Ma se il sito usa un altro dominio per le pagine dei clienti il trucco non funziona. (ad esempio se un sito ha il dominio beldominio.it e agli utenti viene dato uno spazio su mybeldominio.it la cosa non funziona)
  • Il sito suddetto oltre a permettere la memorizzazione di pagine permette altresì l’utilizzo di script.
  • Il vostro browser ha gli script attivi per quel dominio

Se queste condizioni sono vere allora è possibile rubare esclusivamente la user e password con cui voi stessi accedete a quel sito/dominio. Quindi ad esempio su myspace vi possono rubare la password di myspace.

Chiaramente si tratta di un problema serio, ma non così grave come ad esempio se vi potessero rubare tutte le password memorizzate.

E’ inoltre estremamente semplice evitare il problema, e minimizzare i rischi:

  • Non memorizzate password per siti che hanno la caratteristica di consentire agli utenti la costruzione di password. Quindi niente memorizzazione si password per siti di community e cose simili.
  • Non memorizzate mai password per siti dove in fase di registrazione vengono memorizzati dati sensibili come la carta di credito, o dove è possibile spendere soldi online etc.
  • Utilizzate add-on come no-script per minimizzare i rischi su siti sconosciuti

Personalmente memorizzo un’infinità di password su Firefox, ma mai quelle importanti, legate a banche, soldi, acquisti.

Riassumento, il problema c’è ed è importante, ma non così pericoloso da correre a disinstallare Firefox, come molti utenti spaventati dalla news stanno pensando di fare.

Una mezza bufala insomma.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: