Sxipper - возможна ли кража паролей ?

[amrin]

Эпиграф: "Бойся Данайцев, дары приносящих".

Sxipper - так называется расширение для Mozilla Firefox. Делает оно согласно заявленному на страничке по адресу https://addons.mozilla.org/ru/firefox/addon/4865 вот что:
"Forget your passwords! Sxipper accurately fills in forms, manages passwords and your OpenIDs." И далее на их официальном сайте: "Sxipper is a free Firefox add-on that saves you time by keeping track of an unlimited number of usernames and passwords as well as the personal data you share every day over the web."
Но это по-заявленному лишь. На самом деле данное расширение есть "новое слово" в писательстве malicous software *(malware), ибо в довесок к заявленному "функциональному удобству" - манипуляциями пользовательскими логонами на сайтах, - это расширение веб-браузера собирает пользовательские пароли и отправляет их для хранения даже не на официальный сайт расширения: http://sxipper.com/ (IP: 199.175.6.17), - а на http://blame.ca/ - IP: 199.175.6.18
(См. первый приложенный скриншот он снят после запуска браузера БЕЗ каких-либо открытых страничек: http://pic.ipicture.ru/uploads/081227/BR8i1zbqDN.png )
Притом - по SSL-протоколу (port 443) то есть казалось бы "как положено" с точки зрения технологии безопасных транзакций "чувствительной" информации навроде паролей, - но как показало расследование, в расчете на то, что мало кто заметит этот факт. Учтём, что это канадский сайт и домен, притом явным образом "левый" во всех смыслах этого слова.
Учтём также, что именно канадские хакерские группировки давно известны как создатели "зомби-сетей", занятых прежде всего рассылками спама, - то нам уже многое станет ясным в дальнейшем обзоре фактов.
Если в их распоряжении оказывается скажем логин/пароль на вход в панель управления пользовательским веб-сайтом, то спустя считанные минуты или часы управление этим сайтом оказывается в руках хакеров данной группировки, а законный пользователь оказывается ими "выброшен" из контроля сайта путём обычного трюка: смены административных и ФТП паролей. Делается это ими с тем, чтобы "зомбировать" пользовательский эккаунт (как правило мэйлы этого сайта также оказываются перехваченными, скорее всего для целей рассылки спама). Если пользователь не проявит бдительность (то есть прежде всего если постоянно следит, что происходит с его сайтом), то это самым печальным образом отразится на судьбе его сайта. Следует незамедлительно обратиться в саппорт хостера, чтобы заблокировали эккаунт и разобравшись с ситуацией возвратили управление законному владельцу домена и сайта.
Учитывая, что по статистике на 26 дек. 2008 было "111725 загрузок еженедельно, 875881 загрузок всего", то ясны масштабы обмана и довольно большая "эффективность" сего новейшего хакерского преступного трюка по отъёму у законных владельцев их виртуальной цифровой собственности и компьютерных ресурсов!..
По сути дела, это расширение должно бы определяться его авторами не как "Forget your passwords!", а скажем "Rip your passwords!". Впрочем, учитывая что хакеры лишают возможности авторизироваться, украв пользовательский пароль на эккаунт, то и их "фирменный слоган" - Forget your passwords!, есть выражение с двойным смыслом ;-)
Если же отключить или деинсталлировать Sxipper, то все фокусы с коннектом на "левый" сайт прекращаются (см. второй скриншот, снятый в аналогичных условиях: http://pic.ipicture.ru/uploads/081227/nTA6CvviO3.png ). Вывод должен быть ясен без лишних слов! Но позволю себе заметить, что даже сами словечки-названия, подобные Sxipper, уже должны бы своей нарочитой "субкультурностью" настораживать думающего юзера...
Незря в эпиграфе были выбраны эти древние мудрые сентенции. Воистину так! Замечу также, что поскольку типично технократические умы создателей-"девелоперов" сообщества "Огнелиса" уже давным-давно "забыли" (по большей части ввиду "молодости и зелености" и не зная вовсе) принципы приваци и мудрые советы законов Паркинсона, то и результат тут вполне предсказуем. Если концепция "расширяемости" Firefox позволяет получать доступ к святому-святых: к пользовательским паролям, притом - прикрываясь "невинным" и СОБЛАЗНИТЕЛЬНЫМ действом - получением удобства (комфорта и простоты манипуляции паролями в процессе авторизации на своих сайтах), то и Firefox команда пошла по тому же давно раскритикованному кое-кем порочному пути скажем Microsoft. И это не может не приводить к ситуации, когда в целом здоровую и деятельную в полезном плане деятельность "коммунити" Firefox вклиниваются "волки в овечьей шкуре"... со всеми вытекающими из этого последствиями!
Этим я привлекаю внимание к проблеме специалистов по защите информации и призываю к бдительности всех пользователей Огнелиса.

[Numb]

Вы очень смелые умозаключения делаете, мне кажется.
Начнем с того, что оба домена зарегистрированы в Канаде и используют одни и те же DNS-сервера:

http://www.whois.net/whois_new.cgi?d=blame&tld=ca
http://www.whois.net/whois_new.cgi?d=sxipper&tld=com

IP этих сайтов принадлежат одной подсети:

Код:

OrgName:    HIP Communications 
OrgID:      HIPCOM
Address:    560 - 1122 Mainland St.
City:       Vancouver
StateProv:  BC
PostalCode: V6B 5L1
Country:    CA

NetRange:   199.175.6.0 - 199.175.6.255 
CIDR:       199.175.6.0/24 
NetName:    HIPNET
NetHandle:  NET-199-175-6-0-1
Parent:     NET-199-0-0-0-0
NetType:    Direct Assignment
NameServer: NS1.BLAME.CA
NameServer: NS1.SXIP.NET
NameServer: NS2.BLAME.CA
NameServer: NS2.SXIP.NET
Comment:    
RegDate:    1994-06-01
Updated:    2003-03-20

RTechHandle: DH88-ARIN
RTechName:   Hardt, Dick 
RTechPhone:  +1-604-606-4606
RTechEmail:  [email protected]

Так с чего вы решили, что blame.ca - левый адрес? Вас же не смущает, что windows update лезет за обновлениями на akamai.net , причем диапазон адресов там меняется куда как шире, чем здесь.
Есть ли хоть один подтвержденный случай кражи паролей\изменения данных пользователя\внедрения вредоносного ПО с помощью этого расширения?

[valho]

Кто делает Sxippex относится вот у этому - http://ru.wikipedia.org/wiki/ActiveState так что вряд ли будут такой мелочью заниматься как паролями, так, будут для себя статистику собирать, как обычно.

[amrin]

Тем не менее:
1. именно после ТЕСТОВОЙ установки Sxippex возникла (довольно-таки прогнозируемая) ситуация с кражей паролей - компе БОЛЕЕ ничего не стоит, что могло бы даже ПРИНЦИПИАЛЬНО иметь доступ к паролям, а постоянные проверки на зловреды есть часть моей проф.обязанности.
2. Всегда, с начала эры Юникс и сетей, считалось, что переправка данных вовне сайта данной компании куда-то еще (особенно конфиденциальные данные, скажем из заполняемых форм - даже простым и "прозрачным" встроенным в языке HTML-средствами) считалось и ЯВЛЯЕТСЯ нарушением приватности и безопасности в сети.
3. Неважно, лежат ли ОБА ЭТИ сайты на одном сервере (в хостинге такое есть норма), важно, что ВТОРОЙ, куда отправляются некие данные из веб-браузера, есть априорно не относящийся к компании Sxippex-а!!! (Неужели это не ясно сим высокомудрым комментаторам? ...)
По совокупности это тянет как минимум на "профессиональную халатность" разработчиков сервиса Sxippex, которой могут воспользоваться хакеры, получающие доступ к пользовательским данным через сервис Sxippex ...

[valho]

Microsoft и Google тоже щас переходят на такой стандарт по которому сделан Sxipper, и что, у нас теперь всё будут воровать? Хотя мне это не очень нравится, всё сводится к тому что и на этом будут зарабатывать себе денег.

[priv8v]

относительно часто есть люди (их можно встретить на некоторых форумах), которые кричат что АОЛ тырит пароли, что веб-мани просто-так списывает деньги с их счетов... - все они с пеной на губах утверждают, что они являются супер-профессионалами в области ИБ ... ну что на это можно сказать?

никого не хочу обидеть... просто сделал некоторое сравнение.

[amrin]

Люди, последний раз (ибо терпение не бесконечно и жалко тратить время зря) подчеркиваю:
- речь не идёт о том, что софтвер обращается с запросами к фирменному сервису и серверу компании (апдейт или та же проверка сайта на фишинг) - речь идет о том, что если таковые отсылки данных идут НЕ на сайт и хост (IP) САМОЙ компании, - вот это есть великие (ИМХО) основания как минимум задуматься, а можно ли доверять данной компании.
Для тех кто в танке, разжую еще раз: если взять (неудачный) пример приведенный Numb, то буде бы на домене acamai.net присутствовал бы сайт с содержанием, подобным blame.ca, по крайней мере для меня это было бы сигналом: можно ли, следует ли доверять той компании, которая позволяет себе это?...
ПОВТОРЯЮ: отсылка __даже лишь потенциально__ конфиденциальной информации (не то что напрямую связанной с логинами/паролями!) куда-либо вовне сайта компании, НЕПОСРЕДСТВЕННО обслуживающей данный сервис, есть грубейшее нарушение всех писаных и неписаных сетевых норм.
И это есть весомое основание задуматься об уровне компетенции и даже честности данной компании.
ИМХО конечно.
Впрочем, "вольным воля!" (с) - пусть вашим программам доступна пересылка ваших важных данных - хоть в Пентагон или ЦРУ!..
- ибо воистину каждый защищается сам в этом мире...

[Numb]

Для тех кто в танке, разжую еще раз: если взять (неудачный) пример приведенный Numb, то буде бы на домене acamai.net присутствовал бы сайт с содержанием, подобным blame.ca, по крайней мере для меня это было бы сигналом: можно ли, следует ли доверять той компании, которая позволяет себе это?...

Мдя, выражаясь вашим же языком, для тех, кто в танке: вы вот это переводили , раз уж вы удосужились залезть на этот сайт?

I’m the CEO and founder of Sxip Identity, to my staff I’m the bartender.

I’m a strong advocate for user privacy on the web, and have worked for the past five years on a means for a simple, secure and open identity architecture that enables individuals to create and manage their online digital identities.

[product pitch] We’re currently working on a cool user-centric app called Sxipper that is a personal identity manager for the web. Check it out at sxipper.com! [/product pitch]

In my previous life, I founded ActiveState, which grew to become the leader in dev tools for open source programming languages and where, “if you didn’t know Dick, you didn’t know Perl!” I subsequently sold ActiveState to Sophos, a European security software company, in 2003.

Я никакого криминала в содержании сайта не увидел, к слову. Уверяю вас, на IP-адресах, зарегистрированных на akamai.net (опечатался в первом посте, прошу прощения), вы найдете и похуже вещи. Повторяю, для тех, кто в танке, я не вижу никаких подтверждений тому, что данный сервис ворует пароли. Если у вас есть подтвержденные факты кражи паролей с помощью этого сервиса, приведите их, пожалуйста, причем, лучше сразу сюда:

Код:

Mozilla Corporation 
Attn: Legal Support, DMCA Complaints 
1981 Landings Drive Building K 
Mountain View, CA 94043-0801

Добавлено через 11 минут

К слову упоминавшуюся выше систему идентификации для Майкрософт разрабатывает тот же Дик Хардт

[ScratchyClaws]

читаем обзор программы здесь - http://www.tothepc.com/archives/sxip...-single-click/

Sxipper is a free Firefox add-on that lets you log in to any website with a single click. It saves time by keeping track of an unlimited number of usernames and passwords as well as the personal data. Sxipper improves your security by creating strong passwords when registering and also stores them on secure servers.

(Sxipper это беплатный add-on для FireFox который позволяет залогинится на любой веб-сайт одним клилком. Он экономит ваше время сохраняя неограниченное количество логинов и паролей, а так же вашу персональную инвормацию. Sxipper улучшает безопасность, создавая *крепкие* пароли при регистрации и сохраняя их на защищенном сервере )

Basic service is Free with plans to roll out paid version ‘Sxipper Pro’. It stores all your personal data on your computer’s hard disk. Sxipper.com only stores your Sxipper username and email address.

(Базовые функции бесплатные, но планируется выпуск платной версии Sxipper Pro, которая будет хранить всю информацию на жестком диске вашего компьютера. На Sxipper.com будет храниться только ваш логин от Sxipper и адрес электронной почты на который он зарегестрирован)


Ругаться на программу, созданную для хранения паролей на опред. сервере, за то что она эти пароли туда закачивает, это все равно что возмущаться что клиент какой-нибудь он-лайн игры требует подключения к интернету

[ScratchyClaws]

Сказка - ложь, да в ней намёк...
1) зачем хранить мои пароли на чужом компьютере/ах?
2) насколько безопасно это "хранилище" и какие гарантии?
3) почему не наоборот: PRO - хранит на суперзащищённом сервере с бэкапом, а "обычная" - на стороне клиента?
. . .
В общем, я рад что не пользуюсь этой улучшеной "защитой" ИМХО

а вас кто-то насильно заставляет ставить этот плагин? хотите пользуетесь, хотите нет. вопросы из серии *зачем*/*почему* и *какие гарантии* можете задать автору программы.

[amrin]

клиника...

[ScratchyClaws]

ScratchyClaws, если я правильно понял, то Вас устраивает "если пользуетесь нашим бесплатным* товаром, то согласны с нашими всеми/любыми условиями".

если условия меня устраивают, я пользуюсь, если не устраивают - не пользуюсь.
лично мне - достаточно password manager в моем браузере.


что касается выбора - у вас он есть - можете устанавливать, а можете не устанавливать.

учитывая что ВирусИнфо не имеет отношения к разработке/распространению плагина, задавать здесь вопросы о целесообразности некоторых его функций несколько бесполезно.

[Alexey P.]

Нормальный плагин, ничего криминального.
Ещё вопрос, где пароли будут сохраннее - на локальном компьютере или на сервере этого Sxipper. Для юзеров, то и дело цепляющих всякие трояны - имхо, у Sxipper будет действительно безопаснее.

[NRA]

Privacy (http://www.sxipper.com/faq)

Какая у Sxipper'a политика конфиденциальности?
В отличии от других так называемых видов прайвиси которые заявляют о том, что произойдёт с Вашими данными, миссия Sxipper'a - дать Вам контроль и защитить Ваши личные данные. Конкретную информацию см. <Sxipper Privacy Policy>.

Что Sxipper делает с моими данными?
Все Ваши логины, пароли и личные ланные шифруются и хранятся локально на Вашем компьютере. Они никогда не попадают на серверы sxipper.com без Вашего явного согласия.

Что у sxipper.com есть на меня?
Sxipper.com получит Ваш email если Вы указали его для восстановления Имени Тренера или проверки email на доступность (Disposable Email Service). Мы никогда не будем передавать, одалживать или продавать Ваш email. Если Вы предоставили информацию на странице профиля Вашего Тренера, то эта информация доступна публично и на серверах sxipper.com. Единственная информация, которая потенциально может идентифицировать личность - это выборочные данные-куки (cookies), которые Sxipper отправляет на sxipper.com для отслеживания использования сервиза.

А зачем Sxipper отправляет эти куки на серверы sxipper.com?
Мы хотим быть уверены что пользователи удовлетворены работой Sxipper и что серверы sxipper.com не используются во вред и не перегружены. Выборочные куки помогают нам понять общий шаблон использования серверов sxipper.com, локации и регионы использования Sxipper и определить колличество активных пользователей Sxipper и используемую версию.

Какого Sxipper делает запросы на сайт Amazon?
Одна из ключевых возможностей Sxipper - использование форм-карт (шаблонов) генерируемых сообществом (пользователей). Эти карты подсказывают Sxipper как заполнять формы-бланки. Пользователи тренеруют Sxipper и эти карты отправляются на сервера sxipper.com, где они передаюстя в более надёжный, разгруженый и менее дорогой сервер sxipper.com, который находится поближе. На S3 хранятся только файлы карт метаданных.
__________________________________________
ИТОГО: прайвиси хранится локально, но отчёт и кукисы - в броадкаст...
Ничего криминального, но для меня немного мутновато.

[pig]

Да успокойтесь вы. Если нацелятся именно на вас - украдут всё и отовсюду. By design: всё, что покинуло голову, рано или поздно становится известно всему миру (если оно миру интересно, разумеется).

[valho]

Единственное дополнение, которое наверняка будет считаться вредоносным я всё таки видел у фарефокс, это новая версия fast dial (2.14-2.15) , в ней добавлены 3 новые ссылки на поисковые движки, в том числе новая поисковая система, устанавливает себя по умолчанию, отмеченная ботами в чёрных списках спама и как распространение вредоносного ПО. Новая версия fast dial имеет так же проблемы c IE Tab и ещё какие то мне непонятные.
P.S. Поисковая системы уже на данный момент не работает.
...Всё же надеюсь что это дополнение скоро исправят, привык к нему.

[PavelA]

клиника...

Вот насчет этого я бы поспорил.

Вам достаточно аргументировано все рассказали, что еще непонятно?