Topic: Memorizzazione password insicure

[michepao]

Qualcuno è al corrente di come mettere in sicurezza le password memorizzate in firefox nel frattempo che esca qualche patch?

[jericho1]

MozBackup: mozbackup.jasnapaka.com

[Underpass]

Tutto lo staff di questo forum sconsiglia l'utilizzo di MozBackup in quanto più di una volta si è rivelato inaffidabile (nel backup e nel ripristino).
Quindi, usatelo a vostro rischio.

Inoltre, non trattandosi di un software Mozilla, gli utenti sono pregati di non chiedere supporto su questo software.

Grazie per la collaborazione.

[jericho1]

Bene, una volta sconsigliato MozBackup, cosa consigliamo al nostro user e quindi anche a me? 

[flod]

Per prima cosa di leggere il regolamento su avatar e firme

Poi di dare un'occhiata alle discussioni importanti dove ci sono scritti i file da salvare per cookie, password, ecc. ecc.
http://forum.mozillaitalia.org/index.php?topic=5940.0

Ultima nota: non uso e non ho mai usato il salvataggio delle password ma non credo che disattivando il salvataggio delle password quelle esistenti vengano eliminate
Al limite basta fare una prova dopo aver fatto la copia di backup del profilo.

[Underpass]

Confermo. Le password non vengono eliminate.

Mi pare che ci sia anche un'estensione per esportarle:

http://www.extenzilla.org/show_ext.php?id=539

fresca fresca di pubblicazione

[halifax]

http://forum.mozillaitalia.org/index.php?topic=21087.msg141756#msg141756

[grillaio]

allora, io ho disattivato la memorizzazione psw, ed ho rimosso tutto dalle opzioni, però i file key3 e signons sono rimasti identici (in signon c'è tutto ancora quasi leggibile)...
pensate che se elimino dal profilo i due file indicati sono più al sicuro? o eliminandoli potrei avere problemi di funzionamento di ff?

lo stesso bug vale per thunderbird?

[michepao]

Il backup delle password l'ho risolto copiando i due file come da istruzioni di Mozilla.

Inoltre ho fatto delle prove ed ho constatato che Firefox controlla l'indirizzo (dominio compreso) prima di inserire la password sul form salvato in precedenza. Quindi non mi sembra che ci siano pericoli. Il problema potrebbe riguardare il sito internet, ma questo problema esiste anche se le password non vengono memorizzate su firefox e si inseriscono manualmente.

[halifax]

Tenete presente pure il fatto che nella versione 2.0 di ff c'è un filtro antiphishing che vi può aiutare a capire che sito state visualizzando.

[gialloporpora]

Premesso che è sempre meglio non memorizzare le password nel browser:

1) le uniche password a rischio sono quelle di siti dove gli utenti possono inserire codice HTML: domini che ospitano siti
come altervista,  pittaforme di  blogging forum che consentono l'inserimento di codice HTML (non questo)

2) Il test è qui:
http://www.info-svc.com/news/11-21-2006/rcsr1

se tu inserisci due user per lo stesso sito (es: user e userfantoccio) firefox non completa più i form automaticamente
e i dati personali non vengono rubati.

3) Sul sito di Netcraft: a riguardo dell'attacco che ha evidenziato questa debolezza sul sito di Myspace:

During October, alert members of the Netcraft Toolbar community discovered a clever attack against the popular social networking site MySpace. Other users of the Netcraft Toolbar were promptly protected against this convincing attack, which used MySpace's own servers to present a spoof login form.

io ho provato il test sul sito di Chapin e Netcraft non avvisa di un bel niente.
Ciao

[cunctator]

Confermo. Le password non vengono eliminate.

Mi pare che ci sia anche un'estensione per esportarle:

http://www.extenzilla.org/show_ext.php?id=539

fresca fresca di pubblicazione

non sono un esperto, perciò mi puoi spiegare cosa succede quando dò il comando di esportare (e/o importare) le pw? vengono copiate o trasferite in un altro file? e come lo trovo?
ps. s'intende che ho scaricato e installato l'estensione...
grazie!! :oops

edit by miki64: non colorare il testo, non serve. Grazie.

[halifax]

Vengono esportare appunto fuori dal browser in formato, per esempio, .xml (anche criptabile volendo), con nome e destinazione scelti da te.

[grillaio]

scusate, ma io ho fatto così:
ho disattivato il salvataggio delle psw, ho svuotato la memoria password (entrambi le operazioni da strumenti>opzioni>privacy), poi mi sono copiato key3 e signons, dopo di che (a ff chiuso!!) li ho cancellati dalla cartella del profilo, e quando l'ho riattivato.
Lui ha ricreato key3, diverso dal precedente (me ne sono accorto dalla quantità e dimensione dei segnetti leggibili dal blocco note, il contenuto vero lo ignoro) mentre signons non c'è più perchè è l'elenco dei siti dove non chiedere le psw o dove memorizzarle.
Non è sufficiente tutto questo per il backup delle psw? Io l'ho fatto nell'ottica di re-immettere tutto nel profilo appena arriva l'aggiornamento per la protezione delle psw...

premesso che anch'io le psw che memorizzo sono quelle dei siti dove mi interessa poco che spiino, tipo questo, e che comunque sono nettamente differenti da quelle dei siti importanti...

Non ho capito invece tutta la spiegazione di giallorporpora: me la rifaresti in linguaggio da non iniziati? grazie!