Possiblement no ens adonem del perrill que suposa utilitzae la mateixa contrasenya a tot arreu, ja que si algú sap la nostra contrasenya tindrà accés a la majoria dels nostres comptes. Per això, avui intentarem obtenir una contrasenya més forta i ensenyarem com ens pot ajudar el Firefox a recordar les contrasenyes complexes.

Una contrasenya mai pot ser una paraula, ni tampoc un número. Una contrasenya hauria de ser un conjunt de caracters que per nosaltres té algun significat.

Per exemple podem escollir una frase; “Una contrasenya hauria de ser un conjunt de caràcters”

Agafem la primera lletra de cada paraula i transformem les paraules que puguem en números.

1chd1cdc

Ja tenim una contrasenya segura pero podem encara fer-la més segura, podem afegir algun caracter al final o al principi com un espai, un guió,…

1chd1cdc_

D’acord, però només tenim una contrasenya, llavors podem afegir un prefix o un sufix com per exemple;

Facebook: 1chd1cdc_fcb

Google: 1chd1cdc_ggl

Ara tenim una contrasenya segura i diferent per cada lloc web. Com ens pot ajudar el Firefox? El Firefox per defecte cada vegada que accedim a un lloc web amb contrasenya ens diu si volem que la recordi o no. Si diem que sí, el Firefox la desa i podem accedir a ella en qualsevol moment des del menú d’Opcions, Seguretat i Contrasenyes desades.

Com podeu veure podem accedir a totes les contrasenyes guardades i això no es gens segur: en un ordinador compartit un altre usuari podria accedir a totes les nostres contrasenyes. Per això cal crea una contrasenya mestra que ens permet només veure les contrasenyes quan afegim previament la contrasenya mestra.

A continuació podeu veure un vídeo explicatiu en anglès:

Cal dir que quan parlem de bugs en el navegador Firefox parlem de millores i errors que van apareixent en el navegador.

Si voleu estar al dia podeu entrar al següent web: Web

Des de Mozilla han classificat la vulnerabilitat com ha crítica i confirmen que ja tenen la solució preparada, però la versió 3.0.8 encara tardarà uns dies per passar tot el procés de proves, malgrat que s’avança 15 dies.

Afecta a totes les versions a tots els sistemes operatius. L’única recomanació al respecte és no visitar pàgines sospitoses.

BUGZILLA: Bug 485217

La llista no utilitza dades correctes: considera vulnerable una aplicació pel nombre de vulnerabilitats crítiques descobertes. D’aquesta manera les empreses que amaguen els seus problemes de seguretat es veuen premiats i, en canvi, les empreses que fan públiques totes les vulnerabilitats que troben, com Mozilla, es veuen perjudicades.

A més a més, aquest estudi tampoc compta els dies que passen entre que es notifica una vulnerabilitat i que se soluciona.

“Threats in Plain Sight: Bit9 Identifies ‘The Dirty Dozen’ – 2008’s Most Popular Applications with Critical Security Vulnerabilities” – Bit9
“The Importance of Good Metrics” – Mozilla Security Blog

Aquesta matinada ha publicat un article al bloc de seguretat de Mozilla explicant que a finals d’any deixarà el seu càrrec dins la Fundació i s’embrancarà en un projecte que sempre “l’ha apassionat”, tot i que no especifica quin és.

Malgrat que es tracta, sense dubte, d’una gran pèrdua per Mozilla, deixa la seguretat en mans de persones tant importants com Johnathan Nightingale, Lucas Adamski, Brandon Sterne i Mike Shaver.

“Leaving Mozilla” – Mozilla Security Blog
bloc personal
biografia a la Viquipèdia en anglès

El caval de Troia instal·la dos fitxers als directoris del Firefox:

C:\Archivos de programa\Mozilla Firefox\plugins\npbasic.dll
C:\Archivos de programa\Mozilla Firefox\chrome\chrome\content\browser.js
*la part subratllada varia depenent de la versió i de l’idioma del Windows

i enregistra les dades que l’usuari dóna a algunes pàgines en concret, la majoria d’entitats bancàries. Per desgràcia la moltes caixes dels Països Catalans i d’Espanya es troben a la llista, com també altres entitats internacionals com PayPal. Aquestes dades (que inclouen el compte d’usuari i la contrasenya) s’envien al servidor dels atacans, que s’ha descobert que es troba a Rússia.

Sense dubte la perillositat d’aquest cavall de Troia és molt elevada. L’única part positiva és que, de moment, no està gaire escampat i que només afecta a sistemes Windows. Malgrat això, es recomana instal·lar extensions només del web oficial de Mozilla i revisar els dos directoris nombrats a dalt, en cas que trobéssim els dos fitxers infectats hauríem de tancar el Firefox i esborrar-los.

Pàgina d’informació i nota de premsa de BitDefender
“Alertan de un troyano que captura claves bancarias” – Kriptópolis

En realitat estava previst que el Firefox 3.0 ja la inclogués, però al final no va ser així i ens toca esperar-nos al 3.1. Per navegacio privada entenem un mode de navegació mitjançant el qual podem fer que el nostre navegador no emmagatzemi cap dada del que hem fet (galetes, historial, formularis, descàrregues…). Popularment es coneix com a “mode porno“, ja que permet entrar a les pàgines que vulguem sense que ningú se n’assabenti després.

El procés funcionaria amb dues parts: es crearia un perfil especial per a aquella sessió que s’esborraria un cop acabéssim, així no quedaria cap dada al nostre perfil; l’altra part consistiria en fer que el Firefox no escrivís res als arxius del disc, com reconeixen a Mozilla, aquesta segona part és més complicada perquè exigeix revisar tot el codi del programa. També s’ha de decidir encara com serà la interfície mentre naveguem d’aquesta manera; hi ha una proposta que suggereix canviar el color de la barra d’ubicació i de cerca per un més fosc i una altra proposta que suggereix canviar el color de tota la interfície del Firefox per un color també fosc.

Encara s’està començant el desenvolupament d’aquesta funcionalitat, a la qual se li ha assignat una prioritat de nivell dos, tot i que ja s’han alliberat els primers binaris de prova i s’espera que la poguem trobar a les primeres beta del Firefox 3.1. Mentrestant ens podem conformar amb les extensions Stealther o Distrust.

Afortunadament, els usuaris del Firefox som els que anem millor en aquest sentit, i un 83,3% dels usuaris ho fem amb la darrera versió (sigui de la branca 2.0.0.x o 3.0.x). A molta distància ens segueix el Safari (65,3%), l’Opera (56,1%) i, per últim, l’Internet Explorer (47,6%).

Des de l’estudi valoren positivament el sistema d’actualitzacions automàtiques del Firefox, que permet que en qüestió d’un parell de dies s’actualitzin quasi tots els usuaris.

“Examination of vulnerable online Web browser populations and the “insecurity iceberg” – Techzom

1. Ara fa un any us vam parlar d’una vulnerabilitat que afectava a l’Internet Explorer tenint el Firefox instal·lat. Fa pocs dies es va descobrir que entre el Safari i l’Explorer passa una cosa semblant. Finalment, Billy (BK) Rios, va publicar fa una setmana al seu bloc que el Safari i el Firefox també podrien estar “enllaçats” d’aquesta manera i veure’s afectats per la vulnerabilitat.

“BK on Safari, hunting Firefox…” – Billy (BK) Rios

2. També es va publicar una vulnerabilitat a SecurityFocus segons la qual es pot tenir instal·lat un packet sniffer al gestor d’extensions, que fa que sempre que escrivim quelcom a un formulari, s’enviï el seu contingut a una adreça de correu electrònic.

“Firefox 3.0 security bug: Extensions can STILL hide themselves” – SecurityFocus
FFsniFF (exemple de la vulnerabilitat)

Les dues vulnerabilitat afecten tant el Firefox 2.0.0.x com el Firefox 3.0, de moment Mozilla no n’ha comentat res.