# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Можно ли позволять FireFox сохранять пароли?

## AVE22

Собственно это и есть вопрос, подскажите на сколько это безопасно или небезопасно?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Небезопасно однозначно - что хранится в компьютере, может быть оттуда украдено. Если оно хранится в известном месте (а менеджер паролей FF есть хорошо известное место), то оно может быть украдено легко. Вся надежда на мастер-пароль.

----------


## AVE22

Спасибо, кстати, я смотрю вы из Апатитов. Один мой друг, ваш земляк, делает сайт может вам будет интересно поучаствовать namyrome.com.

Да и еще хотел уточнить по поводу мастер-пароля каков принцип его работы? Т.е. если его сделать, то пароли не уведут, например с помощью пинча? У меня свой портал и очень много разных паролей, я и так их храню не на компьютере, и то что браузер их сохраняет очень мне помогает.

----------


## Макcим

> мастер-пароль: Пароль, используемый для защиты сохранённых паролей и другой личной информации. Firefox попросит вас ввести мастер-пароль, когда вы захотите получить доступ к этой информации. Если вы имеете несколько защищаемых устройств, то каждое устройство потребует наличия отдельного мастер-пароля.


http://support.mozilla.com/ru/kb/%D0...BD%D0%BE%D0%B2

Насколько это безопасней трудно сказать. В конце концов куки сохраняются, их увести гораздо проще.

----------


## drongo

Я пользуюсь  аналогом жезл от оперы.https://addons.mozilla.org/ru/firefox/addon/4429 Жутко удобно. Один раз за сессию нажимаешь мастер пароль, и только нужно находясь  на сайте (который в базе)нажать на золотой ключик, чтобы залогиниться :Wink: 
Также, новый проект появился от фишинга паролей:
https://addons.mozilla.org/ru/firefox/addon/11150
 сыроват правда.
Насчёт крипто защиты- вот это заслуживает внимание:
https://addons.mozilla.org/ru/firefox/addon/8970

нужно одельно програмку ставить кроме адона.Я написал автору, чтобы приделал опцию автозаполнения как в жезле- пока глухо.

----------


## Макcим

Всем привет от Паула! Он просил передать следующий комментарий


> Ни в коем случае нельзя. Пусть проходят следующий тест для того, чтобы убедиться как фигово справляются менеджеры паролей (и не только в файрфоксе; в Опере и IE ещё хуже):
> http://www.info-svc.com/news/2008/12-12/pm-evaluator/
> (требуется скрипты)
> 
> Полагаться на дополнения всякие - неразумно; те, которые их пишут - НЕ профессионалы - дыр там куча. Владимир Палант (автор Adblock Plus) сделал исследование по этому поводу с очень грустными выводами. http://adblockplus.org/blog/vulnerab...ensions-survey
> 
> Paul

----------


## SDA

Ну от Паула других комментариев можно и не ждать  :Smiley:  Остается только держать все пароли на бумажке  :Smiley:  Очень удобно  :Wink: 
От себя хочу заметитить, что есть разумное соблюдение безопасности (чтобы не допустить пинча в систему, ведь увод паролей это вторично), а есть соблюдение параноидальное (когда система так "кастрируется", что даже некоторое п/о по безопасности не ставиться  :Wink: ) 
Единственное на мой взгляд, нельзя держать пароли платежных систем, например яндекс деньги (деньги есть деньги). Тем более у среднего пользователя их от силы две, три максимум.
Мое мнение -удобная и комфортная работа на компьюторе (с разумными мерами предосторожности) не должна страдать от параноидальных мер. Все должно быть в меру, если это не рабочий компьютор крупного финансового менеджера  :Smiley: 
Впрочем повторяюсь это мое личное мнение, подтвержденная моими разумными мерами. С примерами увода паролей трояном сталкиваюсь только на virusinfo.info в разделе "Помогите" :Smiley: 
Хранить пароли на компюторе небезопасно, если компьютор будет, как в реале -хранение ключей от квартиры под ковриком  :Smiley:  При разумных мерах безопасности небезапасное хранение можно будет свести только к теории.

----------


## Макcим

Снова выполняю роль почтальона  :Smiley: 



> Речь вообще НЕ идёт о троянах на компе - речь идёт об атаках типа Cross Site Scripting. Если менеджер паролей обманивается, он вставит пароль куда не надо. Такой риск особенно есть, если применяется Автодополнение. В этом суть теста, на который я дал ссылку. Я никого не принуждаю - пусть всё живут, как хотят... 
> 
> Paul

----------


## aintrust

Максим, а что так? Паулу трояны перекрыли доступ к *Virusinfo*? =)

----------


## ALEX(XX)

> Максим, а что так? Паулу трояны перекрыли доступ к *Virusinfo*? =)


Я думаю, это нейрофизиология.

----------


## SDA

Я статью по Cross Site Scripting еще 3,5 года назад постил http://virusinfo.info/showthread.php?t=2695  :Smiley: 
только для FF с включенным NoScript опасность минимальная  и соответственно для менеджера паролей. Ведь при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Здесь только опасность при вскрытии любимого форума пользователя, который туда зайдет с отключенным NoScript  и ленивый админ форума не следит за движком  :Wink:

----------


## 9073

А какая у тебя версия FireFox?

----------


## AVE22

Последняя версия Фокса. 
Больше вопросов, чем ответов получил, нужно задумать над проблемой серьезно, хотя куда более серьезно: стоит лицензионная винда с последними обновлениями, плаигны CookieSafe и NoScript и работаю в аккаунте с огр. правами. И к тому-же как я понял пароли можно увести и без куков и даже не сохраняя их в браузере.
Вариант хранить все пароли на бумажке или в уме очень накладный, т.к. это значительно увеличивает время работы.

А чем этот аддон https://addons.mozilla.org/ru/firefox/addon/8970 лучше NoScript?

----------


## bmw-mtv

А я пользуюсь менеджером паролей RoboForm.
База единая может заполнять формы как IE так и в FF, да и формы регистрации на форумах с его помощью заполняются мгновенно. :Cheesy:  Ну и пишут что все пароли хорошо шифруются мастер-паролем. :Roll Eyes (Sarcastic):

----------


## 9073

Я тоже считаю, что это не безопасно, теоретически. Но практика может быть иной, фиг знает в какой среде ты и твой ПК работаете.

Если ты хочешь чтобы это было максимально безопасно - не доверяй обозревателям это дело вообще. Храни пароли в специализированном ПО на ПК, или на КПК или на телефоне.

Если за своими паролями ты прячешь компрамат на нынешнего президента, то стоит удвоить бдительность: завести журнал паролей, следить за тем чтобы пароль отвечал требованиям сложности, менялся раз два дня и так далее и тому подобное.

Если это пароли от ХХХ то доверять обозревателям можно.


Вопрос. Ты говоришь, что паролей очень много, очень много это сколько?

----------


## Kuzz

А вот и "ответ" на вопрос темы: Уязвимость при обработке URL в Firefox Password Manager - Удаленный пользователь может получить доступ к важным данным на системе.

----------


## aintrust

Ну, это уже довольно древняя уязвимость (что, впрочем, не исключает появления каких-либо других уязвимостей на данную тему)... =)

----------


## Kuzz

> Ну, это уже довольно древняя уязвимость (что, впрочем, не исключает появления каких-либо других уязвимостей на данную тему)... =)


Вот именно.
И далеко не всегда разработчики уведомляются о таких уязвимостях..

А древняя/не древняя - это лишь пример

----------


## 456

Значит пароль  , а это тридцать три знака ,  можно спокойно 
увести ?

----------

