Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kívánságműsor: Hol tárolja a Firefox a jelszavakat

2007.10.07. 12:26 | buherator | 6 komment

A nagy sikerre való tekintettel folytatódik a kívánságműsor. A pártatlanság jegyében az Internet Explorer után most a Firefox jelszótárolási szokásait elemezzük ki - bár az iPhone magyarországi megjelenéséről és a Yahoo Messenger magyarításáról többen érdeklődtek, ezek kevésbé illeszkednek a blog témájához.

Nos, a platformfüggetlenség és nyíltság jegyében a Firefox nem hagyatkozhat olyan egyedi szolgáltatásokra mint a rendszerleíró adatbázis, ezért a perzisztens adatok tárolására egyszerű szöveges állományokat használ. Az elmentett jelszavakat tartalmazó állomány Windows rendszereken a


%userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt

Linuxokon a

~/.mozilla/firefox/xxxxxxxx.default/signons.txt

útvonalon érhető el, ahol az xxxxxxxx a profil egyedi, véletlengenerált azonosítója. A signons.txt (2.0-ás változatoknál signos2.txt azt hiszem) kódolatlanul tartalmazza azokat az URL-eket, amelyekhez elmentettük a jelszavainkat, valamint az ezeken a címeken található űrlapok automatikusan kitöltendő mezőinek nevét. Maguk a beírandó adatok titkosítva,  és base64-gyel kódolva vannak eltárolva.  A titkosítási algoritmus  állítólag 3DES, de erre nem vennék mérget, a Mozilla mag támogatja az RC4, DES és AES eljárásokat is.  A titkosításhoz salt-ot is használnak, ennek értéke azonban nem oldalspecifikus, így  a mentett jelszavak  átmásolhatók más oldalakhoz is. Arról nem találtam információt, hogy a salt telepítésenként egyedi-e, vagy függ-e a profiltól. Amennyiben nem, úgy egy elcsent signos.txt az eredeti tulajdonostól függetlenül simán visszafejthető a Firefox segítségével (Edit->Prefs->Security->Show Passwords...->Show Passwords).

Erre a kellemetlen helyzetre nyújt orvosságot a Mesterjelszó beállítása, melynek segítségével még egy titkosítási réteget húzhatunk érzékeny adatainkra

Na igen, ennél a pontnál nyelte el a blog.hu a posztom másik felét...

Szóval a lényeg a következő: A Mesterjelszó a keyN.db salt fájllal karöltve adja ki a titkosításhoz használt kulcsot, innentől kezdve az adatokat két biztonsági réteg: egy tudás és egy birtoklás alapú védelmezi, ami már megnyugtató a legtöbb esetben. Ellenben ha elfelejtitek a Mesterjelszót az szívás, marad a brute-force.

Címkék: firefox kívánságműsor

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Ironhide 2008.08.22. 01:47:49

Üdv!

Megjegyzésem lenne hozzá.
Bárhogyan is próbálkoztam,nem sikerült a jelszavakat átmenteni a txt fájl kicserélésével.
Szerintem telepítés függő a kód.Talán jól fejeztem ki magamat.

buherator · http://buhera.blog.hu 2008.08.22. 09:18:45

@Ironhide
Legjobb tudomásom szerint a titkosító kulcs lehet profilfüggő (ugye egy telepítéshez több profil is tartozhat, és nem jó ha a különböző felhasználók látják egymás jelszavait.)

Ironhide 2008.08.28. 16:22:19

Így akkor esetleg milyen lehetőség van a jelszavak ijedtén való mozgatására?

buherator · http://buhera.blog.hu 2008.08.28. 19:04:45

Átmásolod a key3.db-t is ha minden igaz

buherator · http://buhera.blog.hu 2008.08.28. 19:06:01

Meg van egy Save Password FF plug-in is azt hiszem
süti beállítások módosítása