Pontencial falha de segurança

arnaldoestevao
(usa Slackware)

Enviado em 09/09/2012 - 14:20h

Quero aproveitar a credibilidade deste site como referência em software livre para gritar mais uma vez uma falha de segurança grave do Firefox, uma vez que após sucessivos contatos com o time do Mozilla eu ainda não recebi nenhum retorno, e também para avaliar que pode ser o caso de minha preocupação ser exagerada

Acontece que hoje em dia, vários de sites de bancos, e agora sites do governo, estão usando o sistema de certficação digital para acesso, o problema é que para um usuário de uma empresa furtar um destes certificados é a coisa mais simples, basta entrar no menu do preferências no caso do Linux ou de opções em Windows, abrir o gerenciador de certificados e mandar fazer um backup,o gerenciador não exige sequer nem a senha original do certificado, mas burramente apenas permite definir uma nova, ai o funcionário envia por email, coloca num pendrive e leva pra casa e acessa de onde quizer, se a gente define uma senha mestra o funcionario tem ficar sabendo qual é, caso contrário, também não consegue acessar os sites


Alguém mais compartilha esta preocupação, parece que pelo menos o pessoal da Microsoft sim visto ja haver forma de promover este tipo de proteção ao IE.

Antes de alguém dizer que podemos usar um $Token é melhor lembrar que sendo o Firefox um SL podemos encontrar com certeza uma solução segura e menos onerosa, como criar uma senha diferenciada para gerenciar certificados e usando-a como chave para criptografá-los antes de armazenar, evitando que versões antigas do Firefox possam abrí-los