Ismét konfliktusba került a kényelem a biztonsággal – most a Firefoxban. A beépített jelszókezelőben tárolt bejelentkezési adatokhoz, jelszavakhoz akkor is hozzáférhettek illetéktelenek, ha azokat a felhasználó mesterjelszóval védte. A hibát a Mozilla a böngésző 68.0.2-es kiadásában javította. Ha még nem frissített erre a verzióra, haladéktalanul tegye meg.

Jó a jelszókezelés, csak kockázatos

Ahogy minden böngészőben, a Firefoxban is el lehet menteni a gyakran használt bejelentkezési adatokat (felhasználónév, jelszó), hogy egyszerűbb legyen adott webhelyekre, netes szolgáltatásokba bejelentkezni. A mentett hitelesítési adatokat – a jelszót természetesen kimaszkolva – a böngésző automatikusan megadja az adott weboldal bejelentkezési ablakában, így a felhasználónak nem kell fejben tartania a jelszavait, és a bejelentkezés egy kattintásra egyszerűsödik.

A Firefoxban is bevezették ezeknek az adatoknak a fokozottabb védelmére a mesterjelszót: azt használva a mentett bejelentkezési adatokból a jelszó csak akkor fedhető fel, ha a mesterjelszót megadjuk. A napokban javított hiba miatt azonban ez lényegében semmit sem ért, mivel egy jobb gombos kattintással az így védett jelszavakat is ki lehetett másolni a jelszótárból mindenféle extra trükk nélkül – írta a Bleeping Computer.

Közepes kockázatú a hiba

Annak ellenére, hogy a hiba a jelszavak kezelését érintette, a Mozilla csupán közepes kockázatúnak minősítette a hibát. Ennek valószínűleg az volt az oka, hogy a kihasználásához hozzá kell férni az adott számítógéphez, és annak felhasználója adataival kell bejelentkezni. Emiatt például kémprogramokkal nem lehet kinyerni a mentett jelszavakat.

A Bleeping Computer ugyanakkor megjegyzi: arra mindenképpen érdemes figyelni, hogy a Firefox jelszókezelője – azaz a jelszómentési lehetőség – alapértelmezett szolgáltatás. Ugyanakkor a böngésző nem követeli meg a mesterjelszó használatát. Ha viszont valaki nem használ mesterjelszót, akkor a hibától függetlenül is bárki ellophatja a mentett bejelentkezési adatokat, ha fizikailag hozzáfér a géphez. Ennek valószínűsége sokkal kisebb, mint az olyan támadásoké, amikor a hekkerek távolról próbálják átvenni a felügyeletet a rendszer vagy egyes részei fölött.

A Firefox 68.0.2 telepítése kiküszöböli a sérülékenységet. Ezért – ha még nem tette meg – a javított kiadás telepítésével érdemes beállítani a frissítések automatikus telepítését is a Beállítások/Általános/Frissítések automatikus telepítése (ajánlott) menüpontban.

Ha valaki még jobban szeretné védeni jelszavait, telepítheti a Mozilla Lockbox nevű böngészőkiegészítőjét. Ez az egyszerű felületű jelszókezelő – amely idén márciustól Androidon is használható – automatikusan importálja a Firefoxból az ott mentett bejelentkezési adatokat, amikor a felhasználó bejelentkezik a böngészőbe a Firefox-fiókjával, és azokat 256 bites végponti titkosítással tárolja el.