Topic: Problema di sicurezza con Firefox e account google

[Marculus7]

Ciao a tutti,

ho appena rilevato un problema su Firefox che mi è piaciuto poco. Spero possiate darmi una mano e che mi stia sbagliando. Ho fatto questo:

Su Firefox (v14.0.1) sono andato sulla pagina www.google.it. In alto a destra ho poi fatto "Accedi" (a google) ed inserito il mio account spuntando la casella "Resta connesso" e salvato la password.
Un istante dopo mi sono accorto che ero sul PC sbagliato ed ho provato a cancellare il mio login senza riuscirci. Ogni volta che ripetevo la procedura ed andavo su "Accedi" rispuntava il mio account in bella vista con tanto di password (corretta).
Ho quindi cancellato dalle opzioni tutta la cronologia corrente, svuotato il contenitore delle password salvate e per sicurezza ho anche passato un CCleaner (non si sa mai) ma appena facevo "Accedi" da www.google.it riecco il nome utente con password inseriti (la password non è visualizzata ma basta fare invio per entrare nel mio account).
Non mi è rimasto altro da fare che digitare una password errata e salvarla, almeno sono riuscito ad evitare questo baco della sicurezza. E' già successo a qualcuno? Potete provare?

Grazie

Marco

[Ronnie91]

Ciao, hai cancellato i cookie?

[miki64]

Provato.
Quoto Ronnie91 perché l'account lo si cancella facilmente digitando le prime lettere e poi scorrendo l'elenco e premendo il tasto "Canc".
E la password la si cancella facilmente dal menu (ALT) "Strumenti / Opzioni / Sicurezza / Password / Password salvate..".

[Marculus7]

Avevo cancellato anche i cookie. Passando CCleaner, comunque, si azzera tutto quindi il problema non si pone. Per quanto riguarda la cancellazione delle password avevo fatto anche quello, basta leggere la mia segnalazione. Il problema è se siamo di fronte ad un errore piuttosto grave di Firefox o se il mio sistema ha dato di testa. Lasciamo stare le competenze più o meno avanzate dei singoli utenti, il problema è se ci troviamo davanti un problema di sicurezza o no. Scusatemi se sembro piuttosto duro nel trattare questo argomento ma da vecchio utente la cosa non mi va giù. Gli aggiornamenti di Firefox si stanno facendo troppo frequenti ed i vari plugin con il mio antivirus non ce la fanno più a stargli dietro, è una battaglia continua. Se il rilascio di nuove versioni mi pone a rischi di questo genere è opprtuno che il team di sviluppo sappia a cosa ci sta esponendo. A me non importa nulla se l'applicazione è più bella perché ho scelto Firefox molti anni fa per la sua sicurezza e non accetto che stia fallendo sul suo punto di forza.

[Ronnie91]

Se non vuoi sempre nuove versioni di Firefox, ti consiglio di passare a Firefox ESR.

Per informazioni su Firefox ESR, leggi qui: http://forum.mozillaitalia.org/index.php?topic=54496.0

Sul forum sconsigliamo vivamente di usare CCleaner per pulire le cose che riguardano Firefox, ecco cos'ha scritto a proposito uno sviluppatore italiano di Firefox:

PS: non mi sento di consigliare a nessuno l'uso di CCLeaner per la pulizia della cronologia di Firefox, il database non è semplice come può sembrare e non ho idea di quali bug possa causare un'applicazione di terze parti, consiglio caldamente l'uso della funzione interna per la cancellazione della cronologia.

P.S. Nessun problema di sicurezza, ti abbiamo già spiegato che il problema non c'è.

[Marculus7]

Grazie per il suggerimento, passerò sicuramente a Firefox ESR.

Per il resto non sono d'accordo. Se faccio Strumenti -> Opzioni -> Sicurezza -> Password salvate -> Rimuovi tutto e il sistema ricorda le mie credenziali allora il problema di sicurezza c'è ed è gravissimo.

La citazione di Mak è del 2009 e da allora il software è molto migliorato. Comunque, il problema fra i due software riguardava il modo aggressivo utilizzato da CCleaner su Firefox (e non solo) che, nel caso peggiore, può danneggaire il profilo quindi cancellare molto più di quanto richiesto e mai il contrario.

Vado a fare subito i test su una versione precedente e posterò i risultati. C'è da dire che ho forti sospetti anche sulla versione di Windows che è Vista e sull'antivirus che per una ragione o l'altra in passato si sono segnalati per pasticci di una certa rilevanza. Il test su Linux (Centos con Firefox ESR 10.0.6) invece non ha dato problemi, tutto ha funzionato correttamente.

[Ronnie91]

Le informazioni rimangono anche nei cookie e se non fai il logout devi cancellare anche "Accessi effettuati" dai vari elementi della cronologia.

Per informazioni sui vari elementi della cronologia, leggi qui: https://support.mozilla.org/it/kb/Cancellare%20la%20cronologia%20recente#w_gli-elementi-della-cronologia

[Marculus7]

Grazie Ronnie91 per il tuo supporto e il tuo impegno nel forum. Studierò la pagina del link che mi hai mandato perché l'argomento comincia ad appassionarmi. Purtroppo non credo ci sia una spiegazione logica all'accaduto ma posso fare delle supposizioni. Intanto ho già fatto delle prove su altri PC e l'errore non si è più ripetuto quindi Firefox  non c'entra nulla.
Un'altra prova che ho fatto è stata quella di allocarmi, ad esempio, su Facebook e Linkedin e poi ho salvato gli accessi. Al successivo tentativo di cancellare tutte le password (opzione 'Rimuovi tutto') l'operazione è stata eseguita correttamente tranne che per Google che continuava a darmi l'accesso in automatico.
Ora ho disinstallato Firefox completamento e ripetuto l'installazione (stesso software stessa versione). Come per magia tutti i problemi sono scomparsi e anche Google 'dimentica' la password se gli viene chiesto.
L'ultimo sospetto riguarda proprio l'antivirus che stava facendo la scansione completa del PC mentre lavoravo e ad un certo punto si è bloccato senza ragione per cui è stato necessario un riavvio (regolare, senza forzare lo spegnimento).
Hai ragione riguardo il cookie perché Google lo utilizza come spiegato qui: http://support.google.com/mail/bin/answer.py?hl=en&answer=8494
Sullo stesso articolo l'autore 'velatamente' suggerisce di fare sempre il log out dopo ogni sessione di lavoro e, di conseguenza, non incoraggia  la connessione permanente. Farò tesoro anche di questo importantissimo suggerimento.

[HariS]

Ogni volta che ripetevo la procedura ed andavo su "Accedi" rispuntava il mio account in bella vista con tanto di password (corretta).

Ma anche la password era in bella vista (cioè visibile in chiaro)?

Anche io fatico a capire quale sia il problema di sicurezza.

Ma dopo aver rimosso la password salvata dentro Firefox (cioè quelle gestite da (ALT) "Strumenti / Opzioni / Sicurezza / Password , che è cosa diversa dalla memorizzazione del sito stesso tramite cookie),
quando tornavi nella pagina di login ti trovavi il tuo nome utente e password già compilati (o addirittura ti loggava in automatico senza neppure farti scegliere?) e accedevi, Firefox ti chiedeva nuovamente se memorizzare o meno quella password?

[Marculus7]

No, la password non era in chiaro (vedi primo messaggio) perché Firefox la nascondeva con i puntini neri. Premendo INVIO però si accedeva al mio account.

La cancellazione delle password (Strumenti / Opzioni / Sicurezza / Password / ecc.) ha funzionato correttamente per tutti gli altri siti sui quali ho fatto il test: Linkedin, Facebook, posta elettronica, ecc. mentre non ha funzionato per Google. Anzi, secondo Firefox non c'erano password memorizzate dopo aver passato l'opzione 'rimuovi tutto'.

No, non si loggava in automatico e non mi chiedeva di memorizzare la password.

Mi spiego sul problema sicurezza perché continuate a chiedermi cosa c'è che non va. Immaginiamo per un attimo che non fossi sul mio PC ma in una area pubblica. Il fatto che il sistema riproponga all'utente succssivo il mio username con password è di per se molto grave perchè chiunque può farsi i fatti miei con le relative conseguenze del caso. Aggiungiamoci che Google utilizza HTTPS cioè una 'connessione sicura' proprio per evitare intrusioni sulla comunicazione e il disastro è compiuto. Ora immaginiamo di non essere sulla pagina di Google ma su qualcosa di più serio. Non mi sembra un semplice problema di sicurezza ma una 'voragine'.

Purtroppo mi rendo conto solo ora di aver sbagliato a fare il ripristino perché sarebbe stato più interessante trovare una risposta al problema. Rimango comunque dell'opinione che il problema sia stato scatenato da combinazione esplosiva di SO con antivirus (sto pensando ad un puntamento sbagliato).