Сохраненные пароли мазила: Как посмотреть сохранённые пароли в Firefox?

Содержание

Если в Firefox вдруг пропали все сохраненные пароли

Мировую общественность давеча сильно обеспокоил тот факт, что из браузера Firefox вдруг резко пропали все хранившиеся в нем пароли.

Судя по отзывам юзеров, причиной ЧП в этот раз может быть чрезмерная деятельность антивирусных приложений Avast и AVG (о других аналогичных прогах пока не упоминается), результатом которой стало повреждение файла login.json.

А именно в этом файле, напомним, браузер сохраняет те пароли, которые ему разрешено сохранять.

Некоторое чуть более углубленное изучение сути проблемки позволяет с достаточно высокой долей уверенности предположить, что еще есть возможность битый login.json восстановить и вернуть Firefox способность автоматом подставлять логины и пароли, как раньше.

Не пропустите: ЕСЛИ FIREFOX 96 НЕ ОТКРЫВАЕТ САЙТЫ ПОСЛЕ ОБНОВЛЕНИЯ

Однако, что тоже немаловажно, изложенный ниже способ решения проблемы приходится считать сугубо временным. Поскольку пока в саппортах Avast и AVG не пофиксят баг со своей стороны, антивирусы будут и дальше «коцать» разные полезные файлы.

Другими словами, данном конкретном случае имеет место быть не проблема в Firefox, а проблема в сторонних приложениях.

что делать, когда в Firefox слетели все пароли?

Значит, делаем следующее:

открываем Firefox;
в адресной строке браузера пишем about:support и жмем Enter;
на открывшейся странице в разделе «Сведения о приложении» в таблице находим строку «Папка профиля» и жмем кнопку «Открыть папку«;
закрываем Firefox;
в папке профиля ищем файл с названием logins.json.corrupt
если такой обнаружился, то просто вручную меняем его название на logins.json
запускаем Firefox.

Сохраненные пароли браузер снова будет показывать нормально. Повторимся: способ временный, и очень вероятно, что антивирус снова испортит файл logins.json. А чтобы этого избежать попробуйте на время (пока разрабы AVG или Avast не устранят баг) убрать Firefox из списка файлов, подлежащих проверке антивирусом.

Не пропустите: ПОДДЕРЖКА HTTP/3 И QUIC: КАК ВКЛЮЧИТЬ ЕЁ В FIREFOX

Кроме того, некоторые пользователи также пишут, что им удалось решить проблему путем отката браузера до версии Firefox 67.0.1, с которой AVG/Avast работают вроде как нормально (мы не проверяли).

Ну, и в завершение отметим, что данное ЧП чем-то из ряда вон не является. Проблемы с упомянутыми антивирусами были, к примеру, у Firefox 61 примерно год назад.

Тогда браузер выдавал ошибку Secure Connection Failed при попытке подключения к сайтам с HTTPS. А в этом году из-за AVG и Avast у Firefox возникала ошибка SEC_ERROR_UNKNOWN_ISSUER при работе с защищенными сайтами. Разработчики не мгновенно, но достаточно оперативно баги устраняли. Так что, будет надеяться, что и теперь разберутся быстро.

Можно ли доверять свои пароли синхронизации Chrome и Firefox? / Хабр

Недавно я писал о недостаточной защите локально сохранённых паролей в Firefox. Как правильно отметили некоторые читатели, злоумышленник с физическим доступом к вашему устройству — не главная угроза. Поэтому взглянем, как разработчики браузеров защищают ваши пароли при их передаче в облако. И Chrome, и Firefox предоставляют сервис синхронизации, который может загружать не только сохранённые пароли, но и куки, и историю просмотров страниц. Насколько безопасен этот сервис?

TL;DR: в настоящее время ответ «нет». У обеих служб есть слабые места в защите. Впрочем, некоторые из этих недостатков хуже других.

Начну с синхронизации Chrome, где ответ более предсказуем. В конце концов, несколько вещей указывают на то, что данная услуга создана скорее для удобства, чем для приватности.

Например, пароль для защиты ваших данных от Google необязателен. В настройках нет предупреждения типа «Эй, вас не волнует, что мы можем заглянуть в ваши данные? Лучше установите пароль». Вместо этого пользователь должен сам проявить инициативу. Другой признак — то, что Google открывает доступ к паролям через веб-страницу. Вероятно, идея в том, чтобы вы могли открыть эту веб-страницу с чужого компьютера, например, из интернет-кафе. Хорошая идея? Вряд ли.

В любом случае, что произойдет после установки пароля? Он будет использоваться для получения (среди прочего) ключа шифрования — и ваши данные зашифруются этим ключом. Конечно, здесь возникает большой вопрос: если кто-то получит ваши зашифрованные данные с сервера, насколько пароль защищён от брутфорса? Оказывается, Chrome использует PBKDF2-HMAC-SHA1 с 1003 итерациями.

Чтобы это значит? Тут я опять для справки приведу цифры из этой статьи: с учётом этих итераций одна графическая карта Nvidia GTX 1080 может обсчитать 3,2 миллиона хэшей PBKDF2-HMAC-SHA1 в секунду.

Это 3,2 миллиона угаданных паролей в секунду. То есть 1,5 миллиарда паролей, известных из различных утечек веб-сайтов, обсчитываются менее чем за 8 минут. Что насчёт надёжного пароля с энтропией 40 бит, который эти специалисты считают средним паролем у людей? Вероятно, специалисты переоценивает возможности людей по выбору хороших паролей, но примерно за два дня этот пароль будет подобран.

На самом деле ситуация ещё хуже. Соль, которую Chrome использует для получения ключа, представляет собой константу. Это означает, что один и тот же пароль у разных пользователей Chrome соответствует одинаковым ключам шифрования. В свою очередь, это значит, что при наличии большого объёма данных от разных пользователей можно проводить атаку сразу на всех. Таким образом, за четыре дня будет подобран пароль к любой учётной записи, где используется пароль с энтропией до 40 бит. Имейте в виду, что у самой Google достаточно оборудования, чтобы проделать эту работу за несколько минут, если не секунд. Я говорю о тех злоумышленниках, кто не хочет тратить на оборудование более 1000 долларов.

Я зарегистрировал этот баг в трекере с номером 820976, следите за обновлениями.

Примечание. Особая благодарность Chrome за креативность в бесполезной трате ресурсов CPU. Эта функция прогоняет PBKDF2 четыре раза, хотя одного прохода достаточно. Первый запуск получает соль от имени хоста и имени пользователя (в случае синхронизации Chrome это константы). Это довольно бессмысленно: соль не должна быть секретом, она просто должна быть уникальной. Так что объединение значений или прогон на них SHA-256 дают тот же эффект. Следующие три запуска генерируют три разных ключа из идентичных входных данных, используя разное число итераций. Один вызов PBKDF2 с генерацией данных для всех трёх ключей явно был бы эффективнее.

Синхронизация Firefox использует хорошо документированный протокол Firefox Accounts для установки ключей шифрования. Хотя различные параметры и выполняемые там операции могут запутать, но похоже, что это хорошо продуманный подход. Если кто-то получит доступ к данным, хранящимся на сервере, то им придётся иметь дело с ключами на основе scrypt. Перебор scrypt на специализированном оборудовании гораздо сложнее, чем PBKDF2 хотя бы потому, что каждый вызов scrypt требует 64 МБ памяти — если учитывать параметры, которые использует Mozilla.

Тем не менее, есть существенный недостаток: scrypt работает на сервере Firefox Accounts, а не на стороне клиента. На стороне клиента этот протокол использует PBKDF2-HMAC-SHA256 только с 1000 итерациями. И хотя полученный парольный хэш не хранится на сервере, но если кто-то перехватит его во время передачи на сервер, то сможет относительно легко подобрать пароль. В данном случае одна видеокарта Nvidia GTX 1080 будет проверять 1,2 миллиона хэшей в секунду. Хотя для каждого аккаунта придётся начинать операцию заново, но проверка 1,5 миллиарда известных паролей займёт 20 минут. И пароль с 40-битной энтропией угадают в среднем за пять дней. В зависимости от содержимого учётной записи такая трата ресурсов может окупиться.

Самое интересное: Mozilla оплатила аудит безопасности Firefox Accounts, и этот аудит указал генерацию ключа на стороне клиента как ключевой недостаток. Таким образом, Mozilla знает о проблеме, как минимум, 18 месяцев, а 8 месяцев назад даже опубликовала эту информацию. В чём же дело? Судя по всему, проблему не посчитали слишком важной. Возможно, это отчасти связано с тем, что аудитор неправильно оценил риск:

Атака предполагает очень сильного злоумышленника, который способен обойти TLS.

Конечно, одним из возможных способов проведения атаки стало бы получение валидного сертификата для api.accounts.firefox.com и перенаправление трафика на собственный сервер. Но более вероятно, что будет скомпрометирована безопасность самого сервера api.accounts.firefox.com. Даже если сервер не взломан, всегда есть шанс, что сотрудник Mozilla или Amazon (сервер размещается на AWS) решит взглянуть на чьи-то данные. А что если американские власти постучатся к Mozilla?

Я изначально зарепортил этот баг как 1444866. Сейчас он помечен как дубликат бага 1320222 — я не смог его найти, потому что он был помечен как «важный в отношении безопасности» (security sensitive), хотя не содержит никакой новой информации.

Кладбища по местонахождению

Электронная почта обязательна

Электронная почта и пароль обязательны

Эта учетная запись уже существует, но адрес электронной почты еще необходимо подтвердить. Повторно отправить электронное письмо для активации

Ваш пароль недостаточно надежный

Неверный адрес электронной почты

Вы должны принять Условия использования

Учетная запись уже существует

Установите флажок Я не робот

Произошла внутренняя ошибка сервера

Если вы хотите стать фотоволонтером, вы должны ввести почтовый индекс или выбрать свое местоположение на карте

Вы должны выбрать предпочтение электронной почты

Мы отправили вам активационное письмо

Ваш новый пароль должен содержать одну или несколько прописных и строчных букв, а также одну или несколько цифр или специальных символов.

Мы только что отправили код активации по электронной почте на номер

Пожалуйста, проверьте свою электронную почту и нажмите на ссылку, чтобы активировать свою учетную запись.
Стать участником Find a Grave можно быстро, легко и БЕСПЛАТНО.
Электронная почта
Показать мой адрес электронной почты на странице моего общедоступного профиля.
Пароль
OK
Пароль должен:
Иметь как минимум 1 строчный символ
Иметь как минимум 1 заглавную букву
Иметь как минимум 1 номер и/или специальный символ
Быть не менее 8 символов
Показать пароль
Общедоступное имя
Что такое общедоступное имя?
Получать уведомления по электронной почте о мемориалах, которыми вы управляете.
Я хочу стать фотоволонтером. Кто такой фотоволонтер?
Местоположение волонтера
Пожалуйста, выберите действительное местоположение
Этот браузер не поддерживает определение вашего местоположения. Чтобы использовать эту функцию, используйте более новый браузер.
Не удалось определить ваше местоположение. Пожалуйста, убедитесь, что вы предоставили Find a Grave разрешение на доступ к вашему местоположению в настройках браузера.
Вы всегда можете изменить это позже в настройках своей учетной записи.
Кладбища не найдены
кладбища, найденные в muff?id=city_228621, графство Донегал , будут сохранены в вашем списке фотоволонтеров.
кладбища, найденные в радиусе миль от вашего местоположения , будут сохранены в вашем списке фотоволонтеров.
кладбища, найденные в радиусе километров от вашего местоположения , будут сохранены в вашем списке фотоволонтеров.
В пределах 5 миль от вас.
В пределах 5 км от вас.
0 кладбищ найдено в muff?id=city_228621, графство Донегал .
0 кладбищ найдено.
Зимняя муфта-грелка для рук | Эргодин
Описание продукта
Руководства и документы
Видео
отзывов
Обычный: 33,05 $
Товар#:
Цвет
Черный
Цветная передняя этикетка
Черный
Тип
Одинарный
Одинарный
Комплект
Комплект
Наличие: В НАЛИЧИИ
Количество
Товар#: 16980
ПРОЧНЫЙ НЕЙЛОНОВЫЙ ЧЕХОЛ – ветрозащитный и водостойкий
ТЕПЛАЯ ПОДКЛАДКА – 100% флис из полиэстера
НЕОПРЕНОВЫЕ МАНЖЕТЫ – сохраняют тепло и не пропускают холод
УГЛОВАЯ КОНСТРУКЦИЯ МУФТЫ – повышает функциональность и обеспечивает естественную удобную посадку
БЫСТРОДЕЙСТВУЮЩИЙ ПОЯС – Регулируется по размеру с громоздким зимним снаряжением или без него
ПОВОРОТНЫЙ МЕХАНИЗМ — позволяет владельцу ослаблять и поворачивать муфту назад, когда она не используется
КАРМАНЫ ДЛЯ ГОРЯЧИХ ПАКЕТОВ – Два внутренних кармана для согревающих пакетов для рук
ПЕРЕДНЕЕ ОТДЕЛЕНИЕ НА МОЛНИИ – для хранения личных вещей или мелких вещей (мобильный телефон, отвертка, гвозди, ручки и т. д.)
ЭТИКЕТКА С ИМЯМИ – Для персонализации
ПРИСОЕДИНЕНИЕ С D-ОБРАЗНЫМ КОЛЬЦОМ – Для соединения зажимов для перчаток и другого небольшого привязного снаряжения
ВАРИАНТ В КОМПЛЕКТЕ — продается с 5 комплектами грелки для рук
МАШИННАЯ СТИРКА
Жители Калифорнии: читать Предложение 65 .
ЖИТЕЛИ КАЛИФОРНИИ

Муфта N-Ferno 6980 Winter Hand Warmer Muff надевается на талию, чтобы обеспечить мгновенное согревание при работе в непогоду, особенно в экстремальных температурных условиях, когда хорошая ловкость рук не позволяет использовать теплые перчатки.
Ветрозащитная и водостойкая нейлоновая оболочка этой термогрелки в сочетании с подкладкой из мягкого полиэстера обеспечивает теплую и уютную защиту от непогоды (в перчатках или без них). Неопреновые манжеты позволяют легко вставлять и вынимать руки, а также не пропускают холодный воздух. Угловой дизайн муфты обеспечивает естественную удобную посадку во время использования.
Внутри муфты для рук есть два внутренних кармана, в которые можно поместить пакеты для согревания рук для дополнительного тепла. Также имеется переднее отделение на молнии для хранения небольшого снаряжения или личных вещей, бирка с именем и точка крепления D-образного кольца для крепления зажимов для перчаток, ключей и другого небольшого привязного снаряжения.
Идеально подходит для тех, кто занимается строительством, транспортом, складированием или высотными работами, такими как телекоммуникации, нефть и газ, производство электроэнергии и т. д. Также отлично подходит для развлекательных мероприятий на выходных.