“Feature” de seguridad en Firefox

Escrito por Multi, el 29 de junio de 2008
votarmeneala

Hemos encontrado en facilware.es un “feature” (un fallo vaya jeje) gordo gordo gordo de seguridad en la nueva versión de Firefox 3 para Mac, aunque las comprobaciones nos hacen ver que se trata para todas las versiones de Firefox y todos los Sistemas Operativos.
Nos ha sorprendido por que en los tiempos que corren no pensabamos que estas pequeñas cosas se dejaran tan al aire como nos hemos encontrado.

El fallo consiste en la facilidad de conocer todas las contraseñas guardadas en firefox sin necesidad de pedir una autentificación como administrador del sistema.

Os pasamos a contar este error que pensamos no debería ocurrir en Firefox 3 para Mac paso a paso. (Para los demás sistemas y versiones… será algo parecido)

1) Abrir Firefox 3.0
2) En la barra superior iros a Firefox >> Preferencias ( cmd + , )
3) En la ventana que os aparecerá, pulsar sobre el icono de “Seguridad” representado con un candado
4) Como veis, la ventana se divide en 3 partes con 5 botones y 5 selecciones (activadas o desactivadas). Pulsar ahora (por la mitad) en el boton “Contraseñas Guardadas”
5) Os apareceran las webs donde habeis escrito y pedido guardar alguna contraseña alguna vez y el nombre de usuario con el que entrasteis. Ahora en la parte inferior derecha pulsar a “Mostrar Contraseña”
6) Os preguntará si en realidad quereis mostrar las contraseñas (Esta simple pregunta es la unica traba de seguridad que hay) Pulsar “Sí”

Os aparecerá la web, nombre de usuario y contraseña. Algo parecido a esto

Como podreis ver… esto resulta algo peligroso si por error pulsamos eso de “recordar contraseña” y pese a que posteriormente eliminemos cockies, la cache, quitemos la selección de recordar contraseña… y veamos que ya no nos recuerda el error… siguen ahí resultando muy peligroso sobre todo en los sitios públicos.

Esperemos que arreglen esto pronto.

16 Comentarios en ““Feature” de seguridad en Firefox”

  1. […] Fallo de seguridad en Firefox 3 (para Mac)facilware.es/?p=858 por rielo hace pocos segundos […]

  2. darky00 dice:

    Eso no es ningún fallo de seguridad. Ademas en las versiones anteriores ya estaba, realmente me parece bastante practico, suelo olvidar las contraseñas y si las necesito en otro ordenador es lo mas rapido.
    Si tu no le das una contraseña no hay otra forma de almacenar las contraseñas que en plano si quieres que te rellene los formularios. Ya que las tiene así lo mas practico es que te deje verlas y eliminarlas a tu elección.
    Si pidiera la contraseña de administrador ningún usuario mas que el administrador podría utilizar lo de “recordar contraseñas”. Si quieres que te pida una justo encima de ese botón tienes la opción “Usar una contraseña maestra” que sirve exactamente para eso.

  3. Carlos R. dice:

    Uff, Falsa alarma, darky00 tiene toda la razón.

  4. multi dice:

    Llamarlo como querais…
    Hoy voy a la universidad y me meteré en algún ordenador y te diré si es un fallo de Firefox o no jeje.

  5. murquis dice:

    Es un fallo muy gordo! Si quieres recordar las contraseñas hay programas específicos para ello, no un navegador web. Imaginate que la gente entre en las cuentas de los bancos con Firefox y con recordar contraseñas! Sería muy fácil recoger esa información, Amen de lo que dice multi. En los sitios públicos es buenísimo, a robar emails y cosas de esas.

    Yo nunca utilizo recordar contraseñas, porque sino para que están las contraseñas? xD

  6. multi dice:

    Exacto. Además por lo menos debería pedir la contraseña del admin como hace Mac por ejemplo cuando se va a instalar algun programa que pueda afectar al sistema, que te pide la admin del administrador por seguridad.
    Sin esa protección podemnos ver las contraseñas de cualquier usuario despistado de ese ordenador sea de la web que sea… y… para que mentir, solemos tener 2..3..4 contraseñas con las que nos harían unos infelices ejejej no?
    La protección de contraseñas debe ser tanto a nivel de protección externa en el sentido de que ningun hacker con parche de pirata te descubra tu pass como que cualquiera que se meta en el ordenador fisicamente acceda a ellas sin mas.
    Quizá la palabra “fallo” sea poco adecuada pero si es una opción muy poco bien administrada por Firefox

  7. Maktub dice:

    Eso no es ningun fallo, estoy con darky00. Si que es un metodo quizas un poco raro, pero para eso esta la contraseña maestra. La opcion de ver las contraseñas estaba desde hace bastante en firefox, alla por su version 2.0, y siempre a su lado aparecia la opcion de contraseña maestra precisamente para resguardar esto. Si que es verdad que en ordenadores de uso publico esta opcion es un poco peligrosa, pero, seamos realistas, alguien va a ser tan… perspicaz de dejar guardada su contraseña en un ordenador publico?

    En cuanto al tema de los bancos… y por experiencia propia, las contraseñas de acceso a las cuentas no son guardadas por los navegadores de ninguna manera. Los bancos poseen scripts para proteger esto. Es que ademas no creo que ni se lance el cuadro de dialogo de “Desea guardar esta contraseña para posteriores accesos?”.

    En definitiva, no hay que poner el grito en el cielo, ya que no es ningun fallo, viene siendo desde hace años una politica seguida por firefox aunque si que es verdad que para un usuario muy inexperto, (pero que mucho) es una opcion mal administrada.

  8. multi dice:

    Edito la noticia cambiando “Fallo” por “Feature” para no dañar los sentimientos de algunos jeje.
    Ahora en serio… aun así sigue siendo un fallo gordo pues la opción de contraseña maestra debería ser la primera opción. Si no sabes mucho de ordenadores a ese punto ni llegas para poner la “contraseña maestra”.
    Además, recordando a darky00 y Maktub lo que un día aprendieron en CASO (de la cual me examino el miércoles 9)… recordar que “..una contraseña no debe ser anotada nunca…”
    Si encima me dices que ahi estan todas anotadas… PEOR!

    Saludos ;)

  9. GpoNsU dice:

    Nada de editar, no me seas rajao, ademas que leches significa “feature”? Español coño! que somos campeones de Europa!! XD

    Dicho esto, y para crear un poco mas de polemica XD Tengo que decir que lo comentado por multi de firefox y las contraseñas, solo es un fallo en Windows!! Si si, por que no me veo a ningun GNU/Linuxero marcando la casilla de recordar contraseña en el ciber de la esquina!

    Vamos que segun lo torpe (por no decir otra cosa…) que sea el usuario, esto puede ser mas o menos peligroso. Y en usuarios manazas, tengo que reconocer, que a Windows no hay quien le gane!!

    Ademas y ya para acabar, un buen linuxero no usa firefox! Navega con la shell!!

    Saludos!!!

  10. Rober dice:

    bueno….no lo veo como un fallo de seguridad , pero si lo veo como algo que usuarios no avanzados desconocen y dejan sus contraseñas a merced de los demas…

    quiza deberia pedir contraseña.

    con las cuentas de los bancos esto no pasa, no funciona de la misma forma

  11. KLap dice:

    Para mi es un descuido en la forma de gestionarlo, pues la mayoría de la gente (usuarios que ponen la url y no tocan nada mas del navegador, vamos que no saben ni lo que son los favoritos xD) no sabe que existe esa función de poder ver los passwords, con lo que el peligro mayor puede venir de posibles “colegas” que vayan a tu casa y te vean los passwords que tienes guardados, lo podéis usar con la novia para verle los correos… jajjajaja es broma eh?? No hubiese estado de más que el poder ver los passwords se activase solo cuando introdujeses la contraseña maestra y a partir de entonces cada vez que los quisieras ver, tuvieras que introducirla.
    GpoNsU no puedo aguantarmelo… navegar con la shell… FRIKAZOOOOOOOOOOOOOOO!!!!!! jajjajajja Que conste que en Mac tambien sabemos hacer de eso… mira mira… http://www.dwmation.com/facilware/klap/links2mac.png

  12. alex_dlc dice:

    “feature” no tiene nada que ver con fallos, significa caracteristica.

  13. multi dice:

    Pues eso… una característica sobre la seguridad.
    Ya se dijo que para no ser tan “tikismikis” se cambio “Fallo” por “Característica” si.

    Lee los comentarios.

  14. alex_dlc dice:

    bueno, solo era un comentario

  15. Pues si quieres evitarte explicaciones nada mejor que escribir como dirección web chrome://passwordmgr/content/passwordManager.xul

    Accedes al gestor de contraseñas evitando pasos innecesarios ;)

    Por cierto… para agujero gordo de seguridad en Firefox el que espero publicar próximamente (y los tiros van por donde decís jejeje)

    Ya os informaré

  16. julio dice:

    si falla algo en firefox pagina videos scan imagenes lo que sea texto incompatibilidades o siay una pagina insegura lo mejor es notificarlo a firefox para que ellos lo arreglan
    se ace en el mismo navegador en ayuda informar siteo web fraudulento para los virus para las paginas que contengan virus d escargando algun sowares con virus o en una pagina que este infetada
    y para problemas de que no va con el firewal colo que sea falta imagenes o se quueda cargando o se cuelga lo que sea da fallos se envia informar de web incompatible le esplicas el fallo y lo en vias

    y en la paginaas phisin igual explicas que la pagina tiene un virus asi se ace mejor los navegadores mas seguros y compatibles

    si sale un error o alga igual se envia

    si no va una descarga no inicia se envia y ellos lo arreglan

Deja un comentario