Vấn đề quản lý mật IE Firefox (Phần cuối) 5.2 Bổ sung thiếu sót quản lý password Firefox 2.0 Bộ quản lý password Firefox 2.0 (tháng 11 năm 2006) có lỗ hổng cho phép thơng tin người dùng (từ trang vào) gửi đến URL họ click vào link nguy hiểm Lỗ hổng gọi Reverse Cross-Site Request (RCSR), bắt nguồn từ thực tế trình duyệt khơng kiểm sốt URL để thơng tin gửi thơng qua web form Người dùng ghé thăm trang từ trước lưu lại thông tin quản lý password, cơng có khả công vào Việc đánh cắp thông tin đưa MySpace.com CIS phát Các trang bình thường có cho phép người dùng gửi HTML nguyên dễ gặp phải công kiểu RCSR nguy hiểm kiểu cơng mơ tả phần 5.1 XMLHttpRequest khơng cho phép u cầu ngồi tên miền hành Thêm vào đó, link (cho phép đệ trình form) xuất dạng video, chương trình trị chơi nhằm làm cho khó bị phát 5.3 Việc phát password Internet Explorer 5.3.1 Khôi phục lại password Nhiều cơng ty có phần mềm thương mại để khơi phục lại password từ AutoComplete Internet Explorer ElcomSoft cung cấp chương trình thực cơng việc có tên Advanced Internet Explorer Password Recovery (AIEPR) Khi bắt đầu khơi phục lại thông tin AutoComplete phiên Internet Explorer từ đến miễn người dùng đăng nhập vào Các chương trình phần mềm PassView làm việc Internet Explorer phiên đến IEPassView cho phiên IE7 cung cấp hồn tồn miễn phí 5.3.2 Malware Internet Explorer thường sử dụng cách thức tốt để chống lại xâm hại malware Tuy nhiên lổ hổng để malware xâm nhập vào thơng tin AutoComplete Các chương trình tăng thơng tin mật sau gửi quay lại cho kẻ cơng BackDoor-AXJ chương trình Trojan lưu AutoComplete thơng tin khác nạn nhân sau gửi thơng tin ngược trở lại người điều khiển Srv.SSAKeyLogger backdoor cài đặt ngầm Internet Explorer hành động ghi Backdoor ngầm khởi tạo AutoComplete lấy cắp liệu từ Protected Storage sau gửi lại thơng qua giao thức HTTP GET 5.4 Phát password Firefox 5.4.1 Có thể truy cập cách dễ dàng vào password văn Với người sử dụng Firefox Password Manager thơng tin ghi vào quan sát password dạng văn rõ ràng hướng dẫn đây: Trên Windows XP: Firefox 1.5 Tools | Options | Privacy | Passwords | View Saved Passwords | View Passwords | Show Passwords Firefox 2.0 Tools | Options | Security | Show Passwords | Show Passwords 5.4.2 Các công Master Password Gần công cụ phát triển để thực công vào password Master Password Firefox Các công kiểu nguy hiểm:  Brute force  Dictionary  Hybrid Firemaster cơng cụ bẻ khóa thiết kế dành cho Master Password Firefox Công cụ viết C++ N Y Talekar vào tháng năm 2006; mã nguồn chương trình tung lên mạng Các công cụ khác viết C cho chức phát triển tiếp Khi cơng cụ cải thiện, sở liệu password hoàn tồn tin tưởng vào Master Password để đối phó với cơng Do khơng thể nói password bẻ vài giây Hơn việc khơng có password phơi bày sở liệu password tức khắc Điều tương đương với việc đánh dấu menu tùy chọn Firefox để password 5.4.3 Nhiều username/password URL Firefox có đặc tính thú vị cho phép nhiều thẩm định cho trang Cho ví dụ nói hai ký tự hư cấu Alice Bob sử dụng Firefox Password Manager tài khoản Windows XP có tài khoản ngân hàng khác trang (www.pncbank.com) Password Manager cho phép nhiều cặp username password Password Manager nhận sử dụng tài khoản web dựa vào username tự động điền trường password Đặc tính cung cấp khả quan sát thông tin người dùng sau: URL bob k9x763s alice n63ld23f Dựa vào mơ hình bảo mật, khơng có cặp riêng lẻ sử dụng tài khoản; vậy, vấn đề có rủi ro khơng phải tất tổ chức làm việc tốt Thêm vào đó, có vấn đề liên quan cặp username/password nhập không cho trang (như lỗi việc chuyển hai đăng nhập cho trang khác hồn tồn) Thơng tin lưu (thậm chí khơng sử dụng) thỏa hiệp thời điểm tương lai mà không cần biết người tham dự 5.4.4 Các công hạn chế dịch vụ Bất người dùng hay chương trình vơi phép có profile cục người dùng hệ thống file có khả cơng vào quản lý password Nếu file (keyN.db, certN.db, secmod.db,signons.txt) xóa hay thay đổi kết khơng thể lấy lại username password File quan trọng file KeyN.db signons.txt, chúng giữ chức riêng liệu mã hóa cách tương ứng Để bảo đảm cho sở liệu password nên copy file keyN.db, certN.db, secmod.db, vàsignons.txt đến địa an toàn Như file bị thay đổi hay xóa Password Manager khơng có đảm bảo việc khôi phục lại sở liệu password cách copy file trở lại thư mục profile Firefox 6, Những sai lầm bảo mật Người dùng không hiểu cách đầy đủ hay khơng biết đến rủi ro gặp phải họ sử dụng hệ thống quản lý password cho trình duyệt Sự nguy hiểm gắn liền với thiếu quan tâm việc lưu giữ username hay password bất chấp cho việc truy cập vào nhóm tin tức đơn giản hay thứ bí mật nhậy cảm thơng tin tài phiên môi giới trực tuyến Người dùng mong đợi trình duyệt khả liên kết với hệ điều hành bảo vệ thông tin họ trừu tượng hóa kỹ thuật bảo mật Trong thực tế rủi ro xảy dễ dàng mà người dùng nghĩ Các trình duyệt nguy hiểm ứng dụng chúng cài đặt hầu hết hệ thống máy tính, sử dụng nhiều người lưu tất username password mà người dùng nhập vào 7, Khả sử dụng Các đặc tính thích hợp quản lý password Internet Explorer Firefox bảng Một vài nét khác khả nhìn thấy password cách rõ ràng Firefox mà khơng có Internet Explorer Điều xem đặc tính rủi ro bảo mật, phụ thuộc vào Master Password có thiết lập hay khơng Thêm vào đó, Firefox có đặc tính hữu ích cho phép username password ngăn chặn cách rõ ràng số trang (ví dụ thơng tin nhạy cảm cho trang cụ thể khơng thể có nhiều rủi ro) Trong AutoComplete, lựa chọn lần dễ dàng thay đổi trừ khơng hiểu chức registry Hơn AutoComplete cịn có thuận lợi Password Manager người dùng chọn lưu URL, username hay password mà không cần ủy nhiệm ba Firefox Đặc tính Internet Firefox Explorer 2.0 Nhắc nhở lưu giữ yes yes password Khả dễ dàng thay đổi sở thích yes "lưu" hay "khơng lưu" Khả khơng lưu thông tin form yes yes Khả dễ dàng truy cập password yes dạng văn mã hóa (plaintext) Khả chọn lưu URL, yes username hay password Bảng 2: So sánh đặc tính tiện ích Internet Explorer Firefox 8, Các chiến lược phòng chống 8.1, Phòng chống dựa người dùng 8.1.1, Lẩn tránh Một phương pháp để ngăn chặn việc thỏa hiệp password hạn chế sử dụng quản lý Internet Explorer Firefox Mặc dù điều làm cho người dùng có xu hướng chọn password cho nhiều trang, điều bất lợi cho việc bảo mật Như vậy, lé tránh nên thực có phương pháp luân phiên để thay cho Cũng có cách cho người dùng tình cờ lưu password q trình duyệt thơng thường 8.1.2, Vơ hiệu hóa quản lý password Điều làm cho quản lý password ngăn chặn khả lưu username password rơi vào trạng thái tương tự biện pháp Chiến lược khác với phương pháp thảo luận 8.2 8.1.3, Luân phiên quản lý password “được xác nhận” Một phương pháp chung mà người dùng lưu password ứng dụng gọi Password Safe Ứng dụng thiết kế Bruce Schneier tiện ích Windows mã nguồn mở phương pháp phổ biến cho việc lưu truy cập password Các password mã hóa khối chữ số Schneier's Blowfish bảo vệ Safe Combination (password chủ) Sự thận trọng bước ban đầu nên thực hành trước sử dụng chương trình Mặc dù vậy, chương trình với mục đích để lưu thơng tin nhạy cảm tập trung sâu trình duyệt tính lưu giữ password Tập trung vào quản lý password mã nguồn mở thiết kế mật mã tiếng lý khiến cho trở thành tùy chọn có giá trị Cả haiAutoComplete Password Manager cung cấp đơn giản thuận tiện đến người dùng; không cần phải chuyển đến ứng dụng khác để tăng truy cập đến username password 8.1.4, Phức hợp password Như đưa phần trước, việc có password chủ vững cho phép ngăn chặn cách hiệu cơng Như nói từ phần trên, Internet Explorer không cho phép bạn chọn password chủ cho AutoComplete; bảo mật thông tin lưu với AutoComplete liên hệ trực tiếp đến password tài khoản người dùng Windows Việc lựa chọn password Windows mạnh cung cấp bảo vệ Mặc dù password Windows khơng dễ dàng thỏa hiệp vài phút Việc tạo password vững Password Manager cho Firefox giảm đáng kể rủi ro thỏa hiệp Một password tốt phải có chiều dài kí tự ngẫu nhiên phải trộn lẫn với kí tự chữ số, điều làm tăng đáng kể khả bảo mật Các cơng bẻ khóa password hồn tồn tiến hành với Firefox Password Manager khơng phải xu chủ đạo việc sử dụng thận trọng tranh việc Trong nhiều trường hợp, người dùng Firefox tăng lớp bảo vệ mở rộng cách sử dụng password tương tự bên phía Internet Explorer 8.2, Dàn xếp lại dựa chuyên gia phát triển Web Theo nhìn nhận chuyên gia phát triển Web, trang thương mại tổ chức tài thực việc bảo vệ người dùng chống lại thỏa hiệp password tương lai Cả Internet Explorer Firefox có khả bảo vệ thuộc tính tag HTML thiết lập cách thích hợp Hãy xét ví dụ lấy đại diện từ MSDN thể dễ dàng để kết hợp chặt chẽ thay đổi trang web Bằng sử dụng phương pháp này, trung tâm phòng chống rủi ro ngăn chặn việc lưu password Internet Explorer Firefox Văn lưu: Văn không lưu: Các ngân hàng sử dụng đặc tính gồm có Washington Mutual, Chase Manhattan Fidelity, E*Trade, Vanguard, Schwab,… Nhiều tổ chức không sử dụng kho bạc PNC Bank Oppenheimer Nếu trang web trang bị vấn đề khơng có lợi ích từ việc sử dụng quản lý password trình duyệt Như vậy, phương pháp ý nghĩa với tổ chức riêng lẻ thích hợp Sử dụng phương pháp khơng bảo đảm an tồn cho máy khách (đã phần 5.1) HTML JavaScript bị thay đổi máy khách, chuyển từ “OFF” sang “ON” Dàn xếp bảo mật hoạt động kinh doanh Windows Hồn tồn vơ hiệu hóa đặc tính AutoComplete Internet Explorer cho bảo mật doanh nghiệp Sử dụng Group Policy Objects (GPO) giải pháp dễ dàng để quản lý số lượng lớn hệ thống máy tính điều khiển thiết lập người dùng máy móc với sách riêng Sử dụng Windows Server 2003 mơi trường Active Directory hồn tồn cho phép vơ hiệu hóa thiết lập AutoComplete toàn tổ chức hay cơng ty Kết luận Sự rủi ro kỹ thuật lưu password trình duyệt Internet Explorer Firefox cần phải đánh giá Bất kỳ hệ thống điều khiển chức nhiều lĩnh vực cần phải xem xét người dùng cần phải có kiến thức rủi ro lợi ích mang lại từ sử dụng hệ thống quản lý password Các phương pháp nhằm giảm rủi ro hay cơng trình bày tài liệu giải pháp thời Người dùng mong đợi hệ thống bảo mật tốt Như vậy, hệ hệ thống quản lý password cần phải tập trung để đáp ứng nhu cầu người dùng  ... Bổ sung thiếu sót quản lý password Firefox 2.0 Bộ quản lý password Firefox 2.0 (tháng 11 năm 2006) có lỗ hổng cho phép thông tin người dùng (từ trang vào) gửi đến URL họ click vào link nguy hiểm... password mà người dùng nhập vào 7, Khả sử dụng Các đặc tính thích hợp quản lý password Internet Explorer Firefox bảng Một vài nét khác khả nhìn thấy password cách rõ ràng Firefox mà khơng có Internet... hình bảo mật, khơng có cặp riêng lẻ sử dụng tài khoản; vậy, vấn đề có rủi ro khơng phải tất tổ chức làm việc tốt Thêm vào đó, có vấn đề liên quan cặp username/password nhập không cho trang (như