Εμφάνιση 1-8 από 8
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.664
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security_new
    Τα τελευταία 9 χρόνια η Mozilla κάνει χρήση ενός χαμηλής ασφάλειας μηχανισμού κρυπτογράφησης για την "master password" λειτουργία των Firefox και Thunderbird.

    Σύμφωνα με το δημιουργό του AdBlock Plus extension Wladimir Palant, η κρυπτογράφηση είναι αδύναμη και μπορεί εύκολα να παραβιαστεί μέσω brute-force attack.

    "I looked into the source code," Palant says, "I eventually found the sftkdb_passwordToKey() function that converts a [website] password into an encryption key by means of applying SHA-1 hashing to a string consisting of a random salt and your actual master password."

    "Anybody who ever designed a login function on a website will likely see the red flag here," Palant says.

    The flag Palant is referring to is the fact that the SHA-1 function has an iteration count of 1, meaning it's applied just once, while industry practices regard 10,000 as a solid minimum for this value, while applications like LastPass use values of 100,000.

    This low iteration count makes it incredibly easy for an attacker to brute-force the master password and later decrypt the encrypted passwords stored inside the Firefox or Thunderbird databases.
    Η συγκεκριμένη αδυναμία στην υλοποίηση της λειτουργίας "master password", αναφέρθηκε πρώτή φορά στον bug tracker της Mozilla, 9 χρόνια πριν αλλά αγνοήθηκε από τότε. Μόνο μετά την επανυποβολή από τον Palant, υπήρξε ενημέρωση πως αυτή θα αντιμετωπιστεί με το νέο password manager component με την κωδική ονομασία Lockbox που είναι σε ανάπτυξη.

    Πηγή : Bleeping Computer

  2. #2
    Εγγραφή
    29-11-2007
    Μηνύματα
    933
    Downloads
    4
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16.403/1.020
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΟΜΟΤΗΝΗ
    Router
    Tomson tg585 v8 8.2.7.8
    SNR / Attn
    6(dB) / 22,5(dB)
    Υπερβολές..
    Ο κωδικός μια χαρά γίνεται hashed και εφόσον είναι ισχυρός και όπως πρέπει δεν κινδυνεύει με την καμία. Σε πάρα πολλά συστήματα μία φορά γίνεται hashed (με το αλατάκι του salt όπως πρέπει).

    Να το κάνεις 10.000 hashed για να επιβραδύνεις επιθέσεις εντάξει δεν είναι και κρυπτογραφική λογική. Ας το κάνεις 100000000 φορές τότε.


    Πιο πολύ για προώθηση κάποιου plugin μου κάνει.
    The flag Palant is referring to is the fact that the SHA-1 function has an iteration count of 1, meaning it's applied just once, while industry practices regard 10,000 as a solid minimum for this value, while applications like LastPass use values of 100,000.
    και το hashing δεν είναι κρυπτογράφιση του κωδικού :P
    There is nothing like 127.0.0.1

  3. #3
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.118
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Και άντε ας πούμε ότι έτσι είναι...
    9 χρόνια δεν το είχα πάρει χαμπάρι κανείς;
    Για psw μιλάμε, δεν μιλάμε για κανένα τρελό bug.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  4. #4
    Εγγραφή
    11-07-2003
    Περιοχή
    Αποδημος Ελληνισμος
    Ηλικία
    43
    Μηνύματα
    960
    Downloads
    6
    Uploads
    0
    Τύπος
    Cable
    Ταχύτητα
    200/40
    ISP
    AIM Τσεχια
    Παράθεση Αρχικό μήνυμα από keysmith Εμφάνιση μηνυμάτων
    industry practices regard 10,000 as a solid minimum
    Προφανως αγνοεις οτι τα industry standards εχουν βγει γιατι οτιδηποτε αλλο λιγοτερο εχει αποδεικτει ανεπαρκες.
    Νothing that you learned from ash and debris...

  5. #5
    Το avatar του μέλους nkarytia
    nkarytia Guest
    Για κάτι που για να σπάσει με brute force attack θέλει φυσική πρόσβαση στο μηχάνημα είναι μια χαρά!

  6. #6
    Εγγραφή
    29-11-2007
    Μηνύματα
    933
    Downloads
    4
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16.403/1.020
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΟΜΟΤΗΝΗ
    Router
    Tomson tg585 v8 8.2.7.8
    SNR / Attn
    6(dB) / 22,5(dB)
    Καμία αδυναμία δεν βρέθηκε και ο τίτλος είναι παραπλανητικός! Μια χαρά οι κρυπτογραφικές "αρχές" έχουν ακολουθηθεί.

    Παιδιά είναι "αστείο" να στηρίζεις την ασφάλεια σε Χ 10.000 το hashing για να δημιουργήσεις εκεί καθυστέρηση. Οκ κάνει το brute force 10.000 πιο αργό αλλά με αυτή τη λογική ας μην το κάνουμε 10.000 hash αλλά να το κάνουμε 1.000 (δεν είναι αρκετό?) ή να το κάνουμε 10.000.000 (είναι αρκετό?). Άλλο να λές καλύτερα θα ήταν να ήταν Χ10.000 και άλλο να λές είναι "αδύναμη" η κρυπτογράφηση.

    Η ασφάλεια ΠΡΕΠΕΙ να στηρίζεται απλά στην επιλογή "καλού" κωδικού (που είναι ΑΡΚΕΤΟ) και αν ο κωδικός είναι τέτοιος ΜΙΑ χαρά είναι προστατευμένος και με 1 X hash μαζί με το κατάλληλο salt.
    There is nothing like 127.0.0.1

  7. #7
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.597
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Παράθεση Αρχικό μήνυμα από deniSun Εμφάνιση μηνυμάτων
    Και άντε ας πούμε ότι έτσι είναι...
    9 χρόνια δεν το είχα πάρει χαμπάρι κανείς;
    Για psw μιλάμε, δεν μιλάμε για κανένα τρελό bug.
    Ξαναδιάβασε την είδηση, το είχαν κάνει report.

  8. #8
    Εγγραφή
    01-09-2005
    Μηνύματα
    445
    Downloads
    10
    Uploads
    0
    Τύπος
    ADSL HOL Shared
    Ταχύτητα
    1024/256
    ISP
    HOL
    DSLAM
    HOL - ΠΑΥΛΟΥ ΜΕΛΑ
    Router
    FRITZ!Box Fon
    SNR / Attn
    13(dB) / 36(dB)
    Συγνώμη, μιλάμε για το master password. Δεν είναι καν απαραίτητο αν δεν έχει κανείς άλλος πρόσβαση στον υπολογιστή.
    Δεν είναι απλά υπερβολική η είδηση. Ουσιαστικά είναι παραπλανητική.
    Στρέφει την προσοχή σε επουσιώδη ζητήματα ασφάλειας την ώρα που γίνεται της τρελής σε ένα σωρό άλλες υπηρεσίες και ουσιαστικά οι χρήστες του διαδικτύου είναι εκτεθειμένοι από παντού

Παρόμοια Θέματα

  1. TP Link TL-WA850RE & αστάθεια στην λειτουργία
    Από dsluser1 στο φόρουμ TP-Link ADSL modems και routers
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 26-02-18, 01:31
  2. Microsoft: Η Ώρα του Κώδικα είναι και πάλι εδώ 2-9 Δεκεμβρίου
    Από nnn στο φόρουμ Γεγονότα και Απόψεις
    Μηνύματα: 0
    Τελευταίο Μήνυμα: 27-11-17, 20:27
  3. Ανεμιστηράκι που εδώ και 9 χρόνια ήταν ανενεργό
    Από JHRoss στο φόρουμ Κουτιά, τροφοδοτικά και ψύξη
    Μηνύματα: 121
    Τελευταίο Μήνυμα: 15-11-17, 15:21
  4. Firefox και Edge τρέχουν, Chrome/Vivaldi/UC σέρνονται
    Από manospcistas στο φόρουμ Software γενικά
    Μηνύματα: 3
    Τελευταίο Μήνυμα: 12-09-17, 16:52
  5. Μηνύματα: 72
    Τελευταίο Μήνυμα: 21-05-17, 23:19

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας