9. חבל האמת שפיירפוקס הוא הדפדפן האהוב עליי, וחבל לי שהם לא הודיעו על הפריצה בזמן אמת. לא מתאים לארגון קוד פתוח כמו מוזילה. מצד שני, זה עדיין אחד הדפדפנים הבטוחים. אם מישהו רוצה אבטחה מלאה שיתקין תוסף adblock plus ותוסף no script וככה אין סיכוי שמשהו יתקוף אותך. (אזהרה, אחרי שמתקינים no script צריך לאשר כל אתר באופן ידני בפעם הראשונה שגולשים אליו) צ | 10.09.15 (ל"ת)
8. ל 3 ... עדיין ... לפי המידע מכתבה - מאכזב שמוזליה לא דווחה בזמן אמת נכון, זה היה יכול לגרום לה נזק. אבל הודעה בדיעבד גם גורמת לנזק, בעיקר פגיעה באמון המשתמשים. מבחינתי היה עדיף להפסיק להשתמש בשועל לתקופה מוגבלת ולא לשמוע בדיבעבד שהייתה תקופה שבה הדפדפן היה חשוף ביודעין. דבר נוסף - שוב ה"באנרים" האלו .. די כבר .. הגיע הזמן לחשוב על מודלים אחרים לפרסומות יותר בטוחות ופחות מציקות. היה טוב גם אם היתה הגנה על קליל שלא במתכוון .. j | 08.09.15 (ל"ת)
5. קצת סדר… א. לא מדובר כאן בפרצה למערכת באגזילה, אלא משתמש שלא שמר כראוי על ססמתו, שהרי גם אם קיימים נהלים נוקשים על שימוש בססמאות מסובכות, מאד קשה יהיה לאכוף שימוש חוזר באותה ססמה במספר אתרים שאין בניהם שום קשר. ב. נניח שהמשתמש הנדון נפל קרבן לפישינג, באמצעות אתר שמתחזה לפייסבוק והוא הכניס בו את ססמתו לפייסבוק. לתוקף כרגע יש את הססמה שלו לפייסבוק, ואם היא תוכל לשמש אותו לגישה למערכות אחרות, הרי שכל המערכות חשופות. באותה מידה ייתכן שהתבצע ניסיון הפישינג מול אתר ספק הדואר האלקטרוני שלו, וכאשר הייתה לתוקף גישה לתיבת הדואר של המשתמש הוא ביצע איפוס ססמה, ויכול להיות שהתבצע ניסיון הפישינג גם ישירות מול באגזילה. ג. מהרגע בו לתוקף הייתה גישה למערכת באגזילה הוא יכול היה לצפות בנתונים שונים, וקשה מאד לעלות עליו כל עוד הוא לא מבצע שום פעולה במערכת מעבר לקריאת מידע – נכון, קיימות מערכות שמנסות להבדיל בין מצב בו משתמש מתחבר לחשבון שלו משני מכשירים לבין משתמשים שונים שמתחברים לאותו חשבון, למשל אם מזוהות התחברויות ממדינות שונות בהפרשי זמן קטנים, אבל כפי שניתן לנחש – זה לא אמין. ד. כפי שנכתב בהודעה הרשמית, ברגע שהתגלתה הבעיה, למשל באמצעות הטכניקה שפירטתי בסעיף הקודם הוחלפה ססמת המשתמש והוחל הליך לזיהוי המידע שעשוי לפגוע במשתמשים. למעט פרצת אבטחה אחת שהצליחה [אולי] לשמש את התוקף לצורך פגיעה במשתמשים ותוקנה לפני חודש, כל שאר בעיות האבטחה שהמשתמש עשוי היה להיחשף אליהן תוקנו גם הן זה מכבר, כך שנכון לרגע זה לתוקף אין מידע על בעיות אבטחה ”סודיות” שטרם טופלו. יודגש כי מרבית הדיווחים במערכת חשופים לכל, למעט בעיות אבטחה ומספר קטן מאד של דיווחים אחרים, שחשיפתם תסכן את ציבור המשתמשים או תפגע בפרטיותם של אנשים מסוימים. ה. כחלק מהפקת הלקחים, מעתה משולבת במערכת הגנת 2FA, שמתיימרת לצמצם את וקטור פריצה זה באמצעות חיוב בהזדהות עם קוד חד פעמי בכל התחברות של משתמשים בעלי הרשאות חזקות. מקווה שהצלחתי לעשות קצת סדר בעניינים. תומר. תומר כהן | 06.09.15 (ל"ת)
4. 3, זה קוד ענק, ולאתר באגים בתוכו זה לא פשוט כשיש לך גישה למאגר הבאגים, העבודה נעשתה בשבילך. וזה בושה שפרוייקט כזה הסתיר שפרצו לו. מה ההבדל בינם למיקרוסופט? ירד לאפס. בושה למוזילה. | 06.09.15 (ל"ת)
1. לא ברור איך זה מוצג כפרצה בבאגזילה כתבתם כי מדובר בשימוש באותה ססמה לשני אתרים שונים וחשיפתה דרך פרצה לאתר השני. | 06.09.15 (ל"ת)
מוזילה: מאגר הבאגים שלנו נפרץ, פיירפוקס בסכנה
9 תגובות לכתיבת תגובה