Tento blog je v "read-only módu" a nový obsah již nebude přibývat. O vývoji píšu na Anglie je útulná země, zvlášť v chudinských čtvrtích velkých měst, proto využívám posledních dní do odletu a zálohuju, co se dá. Nechci přivolávat situaci, že mě v přítmí obstoupí skupinka osob a špatnou angličtinou na mě vychrlí „your notebook or your life“, ale stát se to může. No a historky o vypečených spolubydlících ve share housech snad radši ani neposlouchat…
Takže zálohuju, šifruju a zabezpečuju, co mi síly stačí. Musím přiznat, že jsem byl v této oblasti docela slušným ignorantem, a choval jsem se velmi bezstarostně (jinými slovy, byl jsem běžný uživatel). Nyní se na svůj počítač dívám jako útočník, který z něj chce dostat nějaká citlivá data, a zjišťuju, jak je obtížné ho od toho odradit. Základem je samozřejmě šifrování, nicméně TrueCrypt neumí zašifrovat celý disk, ale pouze partišnu na které nejsou Windows. To je trochu problém, protože stránkovací soubor není šifrovaný, paměť RAM se v režimu spánku (který používám prakticky neustále) ukládá na disk nešifrovaně, různé programy ukládají na disk nešifrované dočasné soubory apod. V mém případě jsem však zvolil kompromis mezi bezpečností a cenou, protože programy DriveCrypt Plus Pack nebo PGP Whole Disk, o kterých před časem pěkně psal dgx, něco stojí.
No a teď konečně k tématu z nadpisu. Uvědomil jsem si, že v případě ukradeného notebooku pro mě bude skoro největší bezpečnostní riziko znamenat Firefox. Ten se uživatele při zadávání hesla na nějaké webové stránce ptá, jestli ho chce uložit, a protože je to velmi pohodlná funkce, všichni kliknou na „Ano, heslo si pamatuj“. Ani si už nedokážu představit, že bych pokaždé, když jdu do mailu, pořád dokola zadával heslo… Jenže takovéhle chování Firefoxu (i Opery) je bezpečnostím rizikem, a to VELMI vážným. Hesla do různých webových služeb jsou skoro tím nejdůležitějším, co mám na svém počítači „uloženo“ – díky Firefoxu, samozřejmě.
Řešením je
- použít šifrování celého disku a tím i celého profilu; v takovémto případě má útočník smůlu, když vám počítač ukradne, na druhou stranu má vyhráno, pokud se k vám nabourá „z dálky“, třeba přes nějakého trojana, a vy běžíte pod administrátorským účtem (kdo neběží ať tam běží)
- použít „master password“ v nastavení (Privacy > Passwords > Create Master Password); toto je nejbezpečnější možnost (a klidně ji lze zkombinovat třeba s metodou a)
Vím, jak je komunita kolem Firefoxu citlivá na jakékoliv zpochybňování dokonalosti tohoto prohlížeče, proto tento článek berte spíš jako upozornění než jako provokaci.
- Firefox obsahuje podporu ochrany ukládaných hesel, což je DOBŘE
- Firefox nijak neupozorňuje na to, že jsou ve výchozím stavu hesla volně dostupná, což je ŠPATNĚ
- Firefox ve výchozím stavu hesla nezabezpečuje, což vede k tomu, že 20% internetové populace má na svém disku uložena hesla v čitelné, snadno dekódovatelné podobě, což je TRAGÉDIE
Pro vás nic nového pod sluncem? Tak to je jen dobře!
Tento problém nemá jen firefox a opera, ale co vím tak i IE a Konqueror po Linuxem