A nagy sikerre való tekintettel folytatódik a kívánságműsor. A pártatlanság jegyében az Internet Explorer után most a Firefox jelszótárolási szokásait elemezzük ki - bár az iPhone magyarországi megjelenéséről és a Yahoo Messenger magyarításáról többen érdeklődtek, ezek kevésbé illeszkednek a blog témájához.
Nos, a platformfüggetlenség és nyíltság jegyében a Firefox nem hagyatkozhat olyan egyedi szolgáltatásokra mint a rendszerleíró adatbázis, ezért a perzisztens adatok tárolására egyszerű szöveges állományokat használ. Az elmentett jelszavakat tartalmazó állomány Windows rendszereken a
Nos, a platformfüggetlenség és nyíltság jegyében a Firefox nem hagyatkozhat olyan egyedi szolgáltatásokra mint a rendszerleíró adatbázis, ezért a perzisztens adatok tárolására egyszerű szöveges állományokat használ. Az elmentett jelszavakat tartalmazó állomány Windows rendszereken a
%userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt
Linuxokon a
~/.mozilla/firefox/xxxxxxxx.default/signons.txt
útvonalon érhető el, ahol az xxxxxxxx a profil egyedi, véletlengenerált azonosítója. A signons.txt (2.0-ás változatoknál signos2.txt azt hiszem) kódolatlanul tartalmazza azokat az URL-eket, amelyekhez elmentettük a jelszavainkat, valamint az ezeken a címeken található űrlapok automatikusan kitöltendő mezőinek nevét. Maguk a beírandó adatok titkosítva, és base64-gyel kódolva vannak eltárolva. A titkosítási algoritmus állítólag 3DES, de erre nem vennék mérget, a Mozilla mag támogatja az RC4, DES és AES eljárásokat is. A titkosításhoz salt-ot is használnak, ennek értéke azonban nem oldalspecifikus, így a mentett jelszavak átmásolhatók más oldalakhoz is. Arról nem találtam információt, hogy a salt telepítésenként egyedi-e, vagy függ-e a profiltól. Amennyiben nem, úgy egy elcsent signos.txt az eredeti tulajdonostól függetlenül simán visszafejthető a Firefox segítségével (Edit->Prefs->Security->Show Passwords...->Show Passwords).
Erre a kellemetlen helyzetre nyújt orvosságot a Mesterjelszó beállítása, melynek segítségével még egy titkosítási réteget húzhatunk érzékeny adatainkra
Erre a kellemetlen helyzetre nyújt orvosságot a Mesterjelszó beállítása, melynek segítségével még egy titkosítási réteget húzhatunk érzékeny adatainkra
Na igen, ennél a pontnál nyelte el a blog.hu a posztom másik felét...
Szóval a lényeg a következő: A Mesterjelszó a keyN.db salt fájllal karöltve adja ki a titkosításhoz használt kulcsot, innentől kezdve az adatokat két biztonsági réteg: egy tudás és egy birtoklás alapú védelmezi, ami már megnyugtató a legtöbb esetben. Ellenben ha elfelejtitek a Mesterjelszót az szívás, marad a brute-force.
Ironhide 2008.08.22. 01:47:49
Megjegyzésem lenne hozzá.
Bárhogyan is próbálkoztam,nem sikerült a jelszavakat átmenteni a txt fájl kicserélésével.
Szerintem telepítés függő a kód.Talán jól fejeztem ki magamat.
buherator · http://buhera.blog.hu 2008.08.22. 09:18:45
Legjobb tudomásom szerint a titkosító kulcs lehet profilfüggő (ugye egy telepítéshez több profil is tartozhat, és nem jó ha a különböző felhasználók látják egymás jelszavait.)
Ironhide 2008.08.28. 16:22:19
buherator · http://buhera.blog.hu 2008.08.28. 19:04:45
buherator · http://buhera.blog.hu 2008.08.28. 19:06:01
b0risz · http://zahar.blog.hu 2008.11.11. 13:35:35