В менеджере паролей Firefox найдена уязвимость

В менеджере паролей Firefox найдена уязвимость

  admin   Мар 20, 2018   БЕЗОПАСНОСТЬ, БЛОГ   0 Comment

Firefox найдена уязвимость

Firefox найдена уязвимость. Автор расширения AdBlock Plus Владимир Палант (Wladimir Palant) обнаружил, что браузер Firefox плохо шифрует сохраненные пароли. Для защиты пользовательских данных используется система мастер-пароля с применением хеширования SHA-1: при рекомендуемом значении в 10 000 его счетчик цикла равен 1. Для сравнения, в менеджере паролей LastPass используется алгоритм со значением 100 000.

Я заглянул в исходный код и нашел функцию sftkdb_passwordToKey(), которая применяет к паролю хеширование SHA-1. Любой, кто когда-либо создавал систему входа на сайт, увидит в этом серьезную проблему.

Владимир Палант, исследователь в области безопасности веб-приложений

Небольшое количество циклов значительно облегчает злоумышленникам подбор мастер-пароля и расшифровку сохраненных данных. Разработчик напомнил, что современные видеокарты способны справиться с задачей за считанные минуты. По его мнению, лучшая замена алгоритму SHA-1 — это Argon2.

Давняя проблема Firefox

Владимир Палант — не первый, кто обнаружил уязвимость. Девять лет назад на эту же проблему указывал исследователь Джастин Долске (Justin Dolske). Несмотря на его отчет, Mozilla не предпринимала никаких действий по усилению защиты.

Однако после привлечения внимания Палантом, в начале марта 2018 года Mozilla представила релиз нового компонента менеджера паролей — Lockbox. Пока он находится на стадии разработки и доступен только в виде расширения. Об этом в комментариях к отчету Паланта написал инженер по безопасности Mozilla Кристиан Холлер (Christian Holler).

При этом алгоритм SHA-1 остался в браузере даже после объявления Mozilla о прекращении поддержки сайтов с данным методом шифрования. Созданная в 1995 году хеш-функция считается сильно устаревшей — в феврале 2017 года Google продемонстрировала способ создания коллизии.

Источник: блог Владимира Паланта

Поделитесь этой информацией

Мой Google+   


Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

ПРЕДВАРИТЕЛЬНЫЙ ЗАКАЗ

Заполните пожалуйста форму. Мы свяжемся с Вами для уточнения деталей заказа.

ИМЯ

EMAIL

ТЕЛЕФОН

×
БЕСПЛАТНЫЙ СЕО АУДИТ
[]
1 Step 1
БЕСПЛАТНЫЙ SEO АУДИТ САЙТА
Адрес сайта
Имя
Previous
Next
×
Подробнее в БЕЗОПАСНОСТЬ, БЛОГ
Как запустить ICO?

Как запустить ICO ? - я постараюсь подробно ответить на этот вопрос, который сегодня интересует многих, как предпринимателей, так и...

Закрыть