Rubriky: Firefox Mozilla

Bezpečnostní audit Firefox Accounts


Firefox Accounts, v českých překladech účet Firefoxu, slouží hlavně k přihlašování k synchronizaci Firefox Sync. Na podzim minulého roku prošla služba Firefox Accounts bezpečnostním auditem, jehož výsledky nyní Mozilla zveřejnila. Nalezeno bylo celkem 15 bezpečnostních chyb, z toho jedna byla označena jako kritická a tři jako vážné. Popis jejich opravy, včetně odkazu na celou zprávu, najdete na security blogu Mozilly.

Není bez zajímavosti, že Mozilla sponzoruje audity také pro jiné open-source projekty.

11 komentářů k článku “Bezpečnostní audit Firefox Accounts”

  1. Vladimír Sladký na Facebooku napsal(a)

    Dřív se dalo synchronizovat i se SeaMonkey (vím že to je vina SeaMonkey, že zatím nepřešli na nový sync a nezbývá než tedy kopírovat alespoň places.sqlite), pokud se něco „domršilo“, tak se dalo vybrat jestli přepsat data na serveru těmi lokálními (teď už to nejde), takže další věc co se změnila (kromě stále méně fungujících doplňků a tedy i funkčnímu stavovému řádku atd.) jen k horšímu … 🙁

    1. Josef Krásný na Facebooku napsal(a)

      Škoda že vývojářů SeaMonkey je moc málo, nestíhají. Aspoň by mohli odebrat ten sync, když je nefunkční, ale evidentně nestíhají ani to. 🙁

    2. Michal Stanke na Facebooku napsal(a)

      Josef Krásný Měl jsem za to, že má SeaMonkey vlastní server se starým Syncem, takže funguje alespoň synchronizace mezi instalacemi SeaMonkey.

    3. Vladimír Sladký na Facebooku napsal(a)

      Michal Stanke Netuším jestli ten server má SeaMonkey – já měl za to, že by si uživatel musel jedině spustit server vlastní, což by ale nebylo právě praktické – to už raději jednou za čas zkopíruju ten places.sqlite a ve stejném počítači na to mám cmd soubor abych to v případě potřeby měl rychleji …
      Horší je to s Androidem, protože mám starší telefon a i když rootnutý (vyčištěno co se dá nepotřebného a co je možno, tak nainstalováno na SD kartě), tak se mi zdá že u poslední Nightly nějak narostly databáze a začalo docházet místo a pokud je zapnuta synchronizace, tak se to nafoukne i o (nepotřebné) záložky z PC verze, do které ale ty androidí potřebuju, protože jedině tam se dají setřídit jak potřebuju a přímo pod Androidem jsem tu možnost nenašel – musí tedy vždy setřídit, snchronizaci vypnou a pak pod Androidem mazat ty zbytečné.

      Stejně mi ten SeaMonkey vyhovuje pořád nejvíc, protože hom nemusím „násilím“ nutit do původního vzhledu (co mi u Firefoxu) vyhovoval mnohem víc a v posledních verzích už tam nefunguje ani ten stavový řádek pro některé doplňky 🙁
      No ale u SeaMonkey zase nejdou některé doplňky (ani po konverzi) co ve FireFoxyu fungují.

      http://web.quick.cz/vs165/TMP/SeaMonkey.png

      Tohle už je dost starý FireFox, kde ještě ten stavový řádek fungoval a přestal až teprve teď nedávno.
      http://web.quick.cz/vs165/TMP/FireFox.png

  2. Charla napsal(a)

    Sync obecně by chtěl přidat nějaké ty možnosti. Třeba přehled všech zařízení, aby bylo možno od účtu odebrat již nepoužívaná zařízení. Nastavení způsobu synchronizace, nebo přehled toho co se vlastně synchronizuje a co nikoliv. Bylo by taky super rozšíření nastavení ve stylu: Chci synchronizovat doplňky vyjma „tohoto“ Zejména jde o stav, kdy na domácím PC mám určité doplňky, na pracovním chci některé vypnout, to se ale projeví tím že na domácím PC se mi vypnou také.
    Velkou vadou je ale Sync na Androidu. I přesto, že mám zapnutou automatickou synchronizaci, tak se mi nezřídka stává, že večer přidaná stránka není ani ráno na mobilu ještě v seznamu. Sync musím tedy spouštět manuálně. O tom, že bych v reálném čase odešel od PC a pokračoval v práci na mobilu si rovnou mohu nechat zdát. Nevím s jakým intervalem se kontroluje aktuálnost dat, ale přijde mi, že to je tak jednou za den. Chtělo by to nějaký push, že jakmile se něco změní tak se to automaticky projeví na všech zařízeních.

    1. Michal Stanke napsal(a)

      Charla: Přehled všech zařízení je v nastavení účtu na https://accounts.firefox.com/settings (proklik je i z nastavení ve Firefoxu).

      Co se týče synchronizace s Androidem, já s tím problém nemám. Zkuste založit bug do Bugzilly a poslat sem odkaz, ať ho můžu sledovat. Hádal bych, že v tom bude něco jako „uspávání“ aplikací Androidem.

    2. Charla napsal(a)

      Bug jsem založil: https://bugzilla.mozilla.org/show_bug.cgi?id=1384018 nicméně si myslím, že za to opravdu může uspávač v Androidu, protože po spuštění FX se obvykle provede synchronizace. Problém je ale v tom, že občas nastane time out, apod., a to vede k tomu, že opravdu nevidím záložky, které obvykle potřebuji otevřít v daný moment, kdy FireFox spouštím.

  3. Charla napsal(a)

    Ještě dodatek: Neprobíhá synchronizování formulářových polí. Což jsem zjistil tak, že jsem na novém PC ověřil, že mám záložky a doplňky = sync proběhl. Starý PC jsem zformátoval, a pak jsem zjistil, že form data se mi už nedoplňují automaticky.

  4. Calvin napsal(a)

    Teda ty možnosti nastavení FA jsou jak pro opice. Smazat účet, změnit obrázek, změnit heslo. Už několikrát se mi stalo, že na notebooku co moc nepoužívám ve srovnání s desktopem, se mi převalily starší záložky i na desktop a musel jsem to manuálně vracet. Sync používám ale nespoléhám na to, když chci udělat čistou instalaci raději použiji mozzbackup, který poskytuje více možnosti při tvorbě zálohy.

    1. Charla napsal(a)

      Taky se mi už stalo, že se mi najednou odkudsi obnovili záložky, které jsem už před čtvrt rokem smazal. Ono obecně chybí rozšířené nastavení. Třeba vypnutí doplňku na jednom stroji způsobí, že se vypne i na druhém a opačně. Ale co když chci opravdu daný doplněk mít zapnutý pouze na jednom stroji? Vypnout sync doplňků není řešení, protože pak se mi nebude synchronizovat jejich nastavení.

  5. Calvin napsal(a)

    Charla: naprosto pravda. Chybí expertní mod.