Mozilla Weave Sync – Possibile problema di sicurezza?!?

Scritto da il 30 gennaio, 2010


Due giorni fa è stata rilasciata la prima versione stabile di Weave Sync, un’estensione per Firefox che consente di sincronizzare i propri dati tra le varie installazioni di Firefox e del futuro Fennec per cellulari e che sarà integrata in Firefox dalla versione 4.0.

L’estensione è simile a Xmarks, ma oltre a sincronizzare segnalibri e password, gestisce anche le preferenze del browser e informazioni di sessione come schede aperte e cronologia e in futuro anche le estensioni. Ovviamente si può decidere quali informazioni sincronizzare ad esempio le password nel caso non ci si fidasse.

WeaveSync

Finestra per la configurazione di Weave Sync

Per assicurare la sicurezza dei dati durante la configurazione iniziale oltre alla password richiede una frase segreta di almeno 12 caratteri per criptare i dati. Il sistema quindi funziona in questo modo:

Se non ci si fidasse dei server mozilla, nonostante tutti questi sistemi di sicurezza, è possibile configurare l’estensione per salvare i dati su di un proprio server privato, ovviamente si deve avere a disposizione un proprio spazio web privato e sicuro dove installare il server.

Proprio da quest’ultima funzionalità ho pensato ad un possibile problema di sicurezza che da origine al titolo. Supponiamo che un malintenzionato scriva un virus che cambi le impostazioni di Weave Sync per redirigere i dati sul proprio server, in poco avrebbe tutte le password e i segnalibri dell’utente attaccato e inoltre potrebbe cambiare le impostazioni del browser e renderlo più vulnerabile o ad esempio cambiando la home page.

In conclusione anche se Xmarks non permette una gestione autonoma della propria privacy, mi sembra che sia più sicuro.

No related posts.

No related posts.

Tag:,

    Se ti è piaciuto questo articolo, lascia un commento oppure sottoscrivi il feed per leggere anche gli articoli futuri appena usciti.

    • Hapablap

      Certo genio, e come farebbe l'ipotetico malintenzionato a decriptare i dati? Lo sai che Weave usa Aes?

      • http://www.guidemondopc.org/ TizioIncognito

        Sul mio PC le password non sono criptate, compresa la chiave aes.
        Un hacker prima cambia la chiave di cifratura e successivamente redirige i dati sul suo server. Conoscendo la chiave li decripta al volo.

    • Hapablap

      Certo genio, e come farebbe l'ipotetico malintenzionato a decriptare i dati? Lo sai che Weave usa Aes?

    • http://www.guidemondopc.org/ TizioIncognito

      Sul mio PC le password non sono criptate, compresa la chiave aes.
      Un hacker prima cambia la chiave di cifratura e successivamente redirige i dati sul suo server. Conoscendo la chiave li decripta al volo.

    27 queries. 2,296 seconds.