PplWare Mobile

Versões antigas do Safari guardam passwords de sessão em claro

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Nelson says:

    Grande tentativa idiota.

    Quem quiser cifrar o disco no Mac, pode fazê-lo no FileVault, não precisa de estar a fazê-lo de ficheiro em ficheiro, isso era estúpido, pois em vez de memorizarmos as passwords (podemos desligar essa feature), estávamos a memorizar as passwords para as passwords!

    Querem os tais 9€ para o anti-virus deles que segundo dizem na App Store, não funciona?

    • Nunes says:

      :S
      A encriptação ocorre com a nova versão do Safari, ninguém precisa de ir encriptar ficheiros, coisa que, não sendo feita pela própria aplicação ou sistema, muito provavelmente iria “quebrar” a aplicação.
      O FileVault tb não serviria para a maior parte das situações pois a partir do momento que o utilizador faça Log-in no computador, uma aplicação pode ler qualquer ficheiro do disco (excepto aplicações com Sandboxing).

      • Nunes says:

        Em vez do FileVault seria muito mais eficaz as pessoas simplesmente desactivarem a opção de usar a sessão anterior – dessa forma deixaria de haver possibilidade de alguma password aparecer desprotegida!

      • Nelson says:

        A partir do momento que o utilizador faça log-in… claro!

        Tens de entrar a tua password.

        Se pegares no disco, e puseres noutro computador, não tens acesso aos dados.

        • Nunes says:

          o que descreves nem 5% das situações de quebra de segurança representa, muito menos a situação em que esta fragilidade no safari poderia ser aproveitada por alguém mal intencionado!
          Felizmente foi corrigida e felizmente para muita gente tb não teria qualquer efeito!

    • Nuno Vieira says:

      Se é assim tão idiota porquê que os dados na nova versão são encriptados? Depois o filevault não serviria de muito. Se o computador estiver infectado com malware, desde que o utilizador tenha a sessão iniciada, o malware consegue ter acesso à informação contida nos ficheiros de sessão.

      Se isto acontecesse com outro browser/SO vinhas logo dizer que a segurança destes era lamentável. Como foi descoberto na Apple, a descoberta já passa a ser idiota.

      • Nelson says:

        Precisamente por causa do malware.

        “Se isto acontecesse com outro browser/SO vinhas logo dizer que a segurança destes era lamentável. Como foi descoberto na Apple, a descoberta já passa a ser idiota.”

        Onde é que isso aconteceu?

        • Nunes says:

          estás a contradizer-te!

          • Nelson says:

            O malware não consegue “assim” ter acesso á informação, desde que o utilizador faça log-in!

            O malware só consegue ter acesso quando conseguir escalonamento de privilégios até ao nível do utilizador para execução ou para acesso a ficheiro.

            Como estava antes, era possível o malware ficar-te com os dados, se tivesse acesso aos ficheiros.

            Como está agora, também precisa de ter acesso a execução de código arbitrário.

            O FileVault protege-te de malware que consegue ter acesso a ficheiros, mas não a execução de código arbitrário.

          • Nunes says:

            :S
            “escalonamento de privilégios”?? mas percebes do que falas? o ficheiro não tinha qualquer protecção, nem por privilégios de acesso, como tal uma aplicação normalissima da silva poderia ler o ficheiro.
            O FileVault não altera nada em relação a malware… a partir do momento que o utilizador faça login, o sistema faz a desencriptação de qualquer acesso ao disco, qualquer acesso. O FileVault não te protege de malware.

          • Nelson says:

            Isso pergunto-te eu.

            Todos os ficheiros no HFS+ têm de ter o dono! grupo! permissões! como esse ficheiro tem.

            Não há ficheiros “normais”.

            O filevault alera em termos de malpare sim, se um ficheiro tiver na tua conta, o malpare não consegue ter acesso ao ficheiro, a menos que consiga executar com a tua conta. Pode até ter acesso root, não consegue, pode aceder ao disco por blocos, não consegue.

          • Nunes says:

            estás a gozar, certo? se não, vai ler um pouco sobre a coisa…
            As permissões deste ficheiro permitem que qualquer um leia o seu conteúdo, não há nenhuma protecção, uma aplicação (normalissima da silva) lê o ficheiro sem qualquer problema, sem ter que pedir autorização. Se não acreditas pesquisa pelo ficheiro e verifica as suas permissões, e abre com um leitor de texto.
            FileVault alerta? deves andar a confundir com o Gatekeeper, que nada tem a ver com o FileVault. O FileVault não faz qualquer análise ao que corre. A partir do momento que for feito o login limita-se a fazer a desencriptação de ficheiros acedidos!
            enfim… falas sobre o que sabes mal!

        • Nuno Vieira says:

          Eu não estou a dizer que esta falha de segurança particular aconteceu noutro SO ou Browser. Estou a dizer que quando uma falha de segurança é descoberta em algum produto não Apple aproveitas logo a situação para defenderes o teu ponto de vista que a Apple é melhor que qualquer alternativa. Quando o inverso acontece desvalorizas as descobertas.

          • Nelson says:

            Vai lá buscar o exemplo, então.

            Era bom que em vez de repetires o que disseste, desses um exemplo…

          • Nuno Vieira says:

            Um exemplo de quê? De quando aparece uma notícia de malware ou falha num SO não Apple tu vens logo mencionar o quanto a Apple é melhor? Ou de quando uma falha é descoberta na Apple tu desvalorizas a descoberta?

            Do ultimo basta olhar para o primeiro comentário. No caso do primeiro, não me vou tar a dar ao trabalho de pesquisar o pplware a procura de um comentário teu, pois eu presumo que tu saibas o que escreves.

      • Francisco Pinto says:

        @Nuno não é preciso pesquisar muito. o Google chorme até um mês se tanto gravava as sanhas num ficheiro completamente desprotegido. Além de que kk um tinha acesso as senhas na opção de ver as sanhas guardadas sem precisar de sanha nenhuma. Bem mais grave. No Safari tens de por a sanha do utilizador para ver as sanhas. Esta situação é uma falha mas além de já estar resolvida, para quem não quer ou não pode (que devem ser poucos) actualizar basta desativar a opção de restaurar a sessão anterior.

        • Nuno Vieira says:

          Mas por acaso viste-me a defender o Chrome ou a Google? Bem me parecia… E lá porque o Chrome ter essa uma falha de segurança nas senhas guardadas, significa que não há problema o Safari também ter falhas de segurança do mesmo tipo? Interessante.

          Sim, quem têm o Mac OS X 10.8 consegue resolver o problema ao actualizar para o 10.9. Mas existem Macs que ficaram impossibilitados de actualizar para o 10.8 e consequentemente para o 10.9. Quê que se faz com as pessoas que possuem estes computadores e não quiserem desactivar a opção de restaurar a sessão anterior? Dizemos para estas instalarem o Windows ou uma distribuição Linux?

          • Francisco Pinto says:

            Tens razão não defendeste. Há problemas. O interessante é muitos ficarem assanhados qd há problemas com algo da Apple e mansinhos qd é nos outros..
            Quem tem o 10.8 basta actualizar o Safari.
            Basta ver a lista dos Mac que podem receber o 10.9 para saber que todos os Mac com 5 ou menos tem acesso gratuito ao maverics e há Mac de 2007 que o tem, aos outros e eu sou um deles se tem “medo” que mudem de browser ao comprem um Mac mais recente pq. instalar o Windows é andar de cavalo para burro!, 🙂 🙂 quanto ao Linux não aconselho uma coisa que não “conheço” lol

          • Nunes says:

            desculpa mas tens aí muita informação errada!
            Em primeiro lugar o Safari com correcção está disponível para todos Sistemas com pelo menos a versão 10.7 (inclusive).
            O Safari dos Sistemas anteriores ao 10.7 não tem este problema pois ele nem tenta fazer o login de páginas visitadas (não guarda esses dados). Por isso ninguém terá problemas com isto.
            Quanto à actualização para o Mavericks (10.9), não precisas de ter 10.8, podes fazer directamente a partir do 10.6, e são suportados mais alguns computadores antigos do que na versão 10.8

          • Nuno Vieira says:

            Nunes, eu não disse que um mac precisava de ter o 10.8 para ser actualizado para o 10.9. Acho que fui muito claro. Mencionei sim que os Macs que não foram habilitados a serem actualizados para o 10.8 que continuam com uma versão antiga do SO sem hipotese de actualização.

            Felizmente a Apple lançou a actualização do Safari 6.1 para o 10.7 e o 10.8

          • Nunes says:

            @ Nuno Vieira
            Por acaso dás a entender que necessitarias do 10.8
            “Mas existem Macs que ficaram impossibilitados de actualizar para o 10.8 e consequentemente para o 10.9”
            Há alguns Macs que não puderam ter o 10.8 mas têm suporte para o 10.9
            Tudo junto significa que qualquer pessoa consegue ter o Safari no seu sistema sem este problema, não precisam de instalar outros

          • Nuno Vieira says:

            Desculpa-me lá mas essa que houve Macs que não puderam actualizar para o 10.8 mas para o 10.9 já conseguiram é uma verdadeira mentira. Os requisitos do 10.8 são idênticos ao 10.9. Isto significa que quem não conseguiu actualizar para o 10.8 também não conseguiu actualizar para o 10.9.

  2. Nunes says:

    :S
    A encriptação ocorre com a nova versão do Safari, ninguém precisa de ir encriptar ficheiros, coisa que, não sendo feita pela própria aplicação ou sistema, muito provavelmente iria “quebrar” a aplicação.
    O FileVault tb não serviria para a maior parte das situações pois a partir do momento que o utilizador faça Log-in no computador, uma aplicação pode ler qualquer ficheiro do disco (excepto aplicações com Sandboxing).

  3. sakura says:

    mas ha alguem que se dedice a quebrar a seguramca do safari?
    ninguem usa isso.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.