Firefox no elimina los datos de inicio de sesión a pesar de recibir instrucciones para hacerlo (posible problema de seguridad)

3

En uno de mis servidores web, he configurado un directorio protegido por contraseña utilizando el conocido mecanismo .htaccess / .htpasswd . El servidor web es ejecutado por Apache 2.4.10 bajo Debian jessie, si eso importa. El fragmento relevante de la configuración del host virtual:

<Directory "/home/www/path/to/protected/directory">
  AuthType Basic
  AuthName "Restricted Content"
  AuthUserFile /etc/apache2/.htpasswd
  Require valid-user
</Directory>

Ahora, cuando abro un documento de esa área protegida con Firefox, Firefox solicita las credenciales. Hasta ahora, todo bien.

Pero cuando borro los datos de inicio de sesión y el caché de Firefox, usando Herramientas - > Opciones - > Privacidad y amp; Seguridad - > Borrar datos - > Borre (con los dos elementos en el cuadro de diálogo marcados), y luego vuelva a abrir el mismo documento o cualquier otro de esa área protegida, Firefox muestra ese documento sin solicitar las credenciales nuevamente .

En otras palabras, Firefox no elimina su caché cuando se le indica que lo haga, o no elimina lo que llama "Datos del sitio" cuando se le indica que lo haga.

Si tengo razón, esto es una grave violación de seguridad. Un usuario razonable sabe que (cuando no usa su propio dispositivo privado, por ejemplo, cuando usa una PC en un cibercafé), la memoria caché y los datos de inicio de sesión del navegador se deben borrar después de haber utilizado el navegador para acceder a áreas protegidas por contraseña, y confía en que esto funcione .

La única forma de hacer que Firefox olvide dichos inicios de sesión parece ser primero borrar la memoria caché y las Cookies y los Datos del Sitio como se describe anteriormente y luego cerrar la aplicación inmediatamente (Archivo - > Salir).

Pero esta no es una solución real al problema. Si le pido a un navegador que borre el caché y las cookies y los datos del sitio, espero que inmediatamente olvide todas las credenciales sin reiniciar. Periodo.

He probado esto con Firefox 61.0.2 (la versión más reciente en el momento de escribir este artículo) en Windows 7.

Por cierto, Chrome lo hace bien.

Finalmente, para evitar malentendidos:

Lo anterior solo se relaciona con las credenciales para las áreas que están protegidas por .htaccess , es decir, donde el propio navegador solicita las credenciales. Todos los sitios que implementan el control de acceso mediante cookies de sesión no se ven afectados por el problema, no , porque (por lo que puedo decir) Firefox elimina todas las cookies tan pronto como usted elimina los datos como se describe anteriormente.

¿Qué piensas de esto? ¿Es un problema de seguridad?

    
pregunta Binarus 01.09.2018 - 09:01
fuente

0 respuestas

Lea otras preguntas en las etiquetas