Mozilla провела аудит безопасности системы Firefox Accounts

Олег Иванов 20 Июля 2017 - 14:31

Домашние пользователи

Mozilla

Системы для анализа защищенности информационных систем

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Брутфорс

...

Mozilla провела аудит безопасности системы Firefox Accounts

Mozilla попросила немецкую фирму Cure53 провести аудит системы учетных записей Firefox Accounts, исследователи выявили в общей сложности 15 брешей, включая уязвимости с критическим и высоким уровнем опасности.

Firefox Accounts – система, позволяющая пользователям Firefox получить доступ к сервисам Mozilla. Поскольку эта система представляет собой службу централизованной аутентификации Firefox, она может стать целью для хакеров, поэтому Mozilla решила протестировать Firefox Accounts на уязвимости.

Тесты, проведенные исследователями Cure53 в течение одного месяца, с сентября по октябрь 2016 года, выявили 15 проблем с безопасностью, из них шесть уязвимостей, и девять общих недочетов.

Самая серьезная уязвимость представляет собой критический баг, позволяющий хакерам проводить как XSS-атаки, так и атаки без участия скриптов, результатом которых может стать успешный фишинг и похищение конфиденциальной инфомрации. Одна Mozilla отметила, что для успешной эксплуатации этой бреши требуется регистрация так называемого Firefox Accounts relier.

Следующая из уязвимостей имеет высокий уровень опасности, она может привести к произвольному выполнению команды, если злоумышленник сможет определить локацию для запуска приложения.

Список недостатков высокой степени также включает в себя еще одну XSS-брешь и слабость шифрования, которая может быть использована для повышения эффективности атаки брутфорс. Другие проблемы, выявленные исследователями, классифицируются как имеющие низкую или среднюю степень риска.

Большинство уязвимостей были устранены, и Mozilla заявила, что ни одна из них не была использована в реальных атаках.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 12:56

GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации Менеджеры паролей Парольная защита (пароли)

Каждый десятый россиянин использует ИИ для создания рабочих паролей

Как выяснили в «Лаборатория Касперского» и hh.ru, часть россиян уже доверяет нейросетям даже такую важную задачу, как создание паролей для рабочих аккаунтов. По данным совместного опроса, каждый десятый использует ИИ для генерации паролей к корпоративным сервисам.

Ещё 6% применяют нейросети для управления паролями или их хранения. Это уже выглядит рискованнее: если пользователь вводит в ИИ-сервис лишние данные, они потенциально могут оказаться вне контроля компании.

В целом большинство пользователей пока относятся к такой практике осторожно. Но есть и те, кто готов доверять ИИ даже в вопросах с высокой ценой ошибки.

Так, 11% опрошенных заявили, что могли бы поручить нейросети создание паролей для рабочих ресурсов с конфиденциальной информацией. Столько же признались, что в некоторых случаях доверяют ИИ в генерации паролей больше, чем себе.

Эксперты напоминают: сама идея создать сложную комбинацию с помощью технологии не плоха. Проблема начинается, когда человек в запросе указывает название компании, конкретный сервис или другие детали, которые лучше не светить во внешней системе. Кроме того, предложенный нейросетью пароль не стоит использовать в исходном виде.

В «Лаборатории Касперского» советуют безопаснее подходить к таким сценариям: не передавать ИИ конфиденциальные данные, просить несколько вариантов и затем собирать собственную комбинацию.

Для компаний более надёжным вариантом остаются корпоративные менеджеры паролей, где можно централизованно управлять учётными данными и контролировать правила безопасности.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!