Estas aquiContenido / Firefox continúa siendo vulnerable al robo de contraseñas
Firefox continúa siendo vulnerable al robo de contraseñas
Lamento decirlo (y no quiero caer en el recurso facilón de echarle la culpa a los antecedentes profesionales de Window Snyder), pero tengo la impresión de que la "reparación" de bugs de Mozilla se parece cada día más a la de Microsoft.
Así, hace unos días Heise informaba de que Mozilla se había visto obligada a parchear un parche para Firefox que, en vez de reparar el fallo, introducía una vulnerabilidad aún mayor que la que decía resolver. Entonces no di al asunto mayor importancia, porque al fin y al cabo la última versión (2.0.0.2) estaba a salvo.
Sin embargo, hoy me desayuno con la noticia de que también el parche para el famoso bug del robo de contraseñas de Firefox a través de su gestor (que se dijo resuelto en la 2.0.0.2) parece ser... otra chapuza...
Eso dice al menos Robert Chapin, descubridor original de ese bug, quien afirma que el parche de Mozilla cierra menos de la cuarta parte de los 22 problemas que genera ese bug. Y sus afirmaciones no parecen gratuitas: basta leerse su informe detallado (pdf) sobre el estado de cada una de ellas, donde incluso puntúa sus respectivas gravedades del 0 a 5.
Según Chapin, mientras Mozilla no resuelva al menos el 40% el usuario medio de Internet no puede considerarse razonablemente seguro, por lo que Chapin sigue recomendando la desactivación del gestor de contraseñas de Firefox.
En palabras de Chapin, Mozilla incluso debería esmerarse en superar esa cifra del 40% si quiere situarse por delante de su competencia.
Por tanto, por méritos propios y con el agravante de manifiesta reincidencia en una misma semana, en espera de confirmación esta nota va a la sección de Chapuzas, en lugar de la de Firefox, que habría de ser su destino natural.
Suerte que no utilizo nunca el gestor de contraseñas en ningún navegador ;)
¿Esta extensión no corrige este problema?
addons.mozilla.org/firefox/4429
--
rkg
Las extensiones nunca "corrigen" problemas propios de los navegadores, sino que extienden (de ahí su nombre) sus funcionalidades (y eso en el mejor de los casos, porque también pueden añadir nuevas vulnerabilidades).
Cuando existe un fallo en la implementación javascript de Firefox, se puede puentear deshabilitándolo o taparlo mediante NoScript, pero eso no puede servir nunca de excusa para no reconocer que la vulnerabilidad reside en el navegador y ha de ser corregida en él.
Nota al margen: me sorprende que aún exista (y que conste que no lo digo por ti) quien le niega entidad a esta vulnerabilidad (bueno, en general a casi todas las que ocurran en Firefox). Sin duda no hay mejor ciego que el que no quiere ver.
Hombre entiendo lo que me quieres decir, pero lo cierto es que la extensión sí remedia el problema, pues cambia el funcionamiento del gestor de contraseñas. (Nada que ver con NoScript). Sí estamos de acuerdo en que estará realmente resuelto cuando este comportamiento venga de serie con el navegador.
--
rkg
Tengo que reconocer que en la implementación del ser humano hay vulnerabilidades. En concreto una de las que mas me preocupa es la del cráneo... es demasiado frágil. Se que algunos argumentaran que no fue usado para golpearlo contra algo bruscamente, pero la vulnerabilidad está ahi... muchos argumentan que para ir seguros en una moto, por ejemplo, hay que usar casco, pero que quieres que te diga, el culpable es el propio ser humano, que es defectuoso...
lastima que las vulnerabilidades humanas no puedan ser parcheadas... de momento conformémonos con usar casco cuando vamos en moto, o arriesguémonos a ver nuestros sesos esparcidos por el asfalto...
Que se le va a hacer... :)
En la siguiente dirección, Gavin Sharp cuenta otra historia:
http://ha.ckers.org/blog/20070309/analysis-of-firefoxs-password-manager-...
Alexander Concha
Alexander Concha
..ver qué responde Chapin.
A lo mejor hasta hay que sacarlo de "Chapuzas" y ponerlo en "Firefox" ;)
Ojalá. Sería menos preocupante.