¿Por qué Firefox y Chrome “filtran” información de seguridad crítica del navegador y cómo puedo detenerla?

15

Al estudiar el protocolo SSL / TLS y el cifrado, encontré un método que describe cómo exportar las claves de sesión SSL / TLS de Firefox a un usuario o variable de entorno fuera del navegador, y luego descifrar los paquetes TLS usando Wireshark (método descrito en: enlace ). Este método es muy fácil de realizar: pude descifrar las comunicaciones con los sitios HTTPS, incluidas las credenciales de inicio de sesión.

Según el enlace anterior y mis propias pruebas, este método solo funciona para Firefox y Chrome; no Internet Explorer u otro tráfico SSL que no sea del navegador (consulte enlace para la recomendación de MSDN, pero esencialmente no guardan las claves de la sesión en forma clara de forma predeterminada). El método también se describe en el sitio de la Red de Desarrollo de Mozilla (MDN) en: enlace y también Information Security Exchange, por ejemplo en: Descifrando TLS en Wireshark al usar conjuntos de cifrado DHE_RSA ).

El método requiere acceso a la configuración del sistema para configurar la variable de entorno necesaria, pero eso es todo. Tanto Firefox como Chrome buscan la variable automáticamente y, si la encuentran, comienzan a registrar las claves de la ubicación. Los navegadores no alertan al usuario ni piden permiso, ni parece haber una forma en Firefox acerca de: config para desactivar este cierre de sesión. Me doy cuenta de que el acceso completo al sistema para configurar la variable podría suponer que el sistema ya está comprometido, pero el nivel de protección parece ser mucho menor que el de otra información de seguridad. Por ejemplo, el acceso al sistema no permite un acceso fácil a los módulos de seguridad SAM o TPM (hay otras formas de obtener acceso, por supuesto, pero no es un punto y haga clic).

Este método parece permitir una exportación muy sigilosa de las claves de sesión SSL / TLS (solo tienen 128 o 256 bits cada una) por parte de terceros que podrían capturar el tráfico de la red por separado de la exportación clave y luego descifrar a su gusto. . Este descifrado podría ocurrir a pesar del uso de cualquier clave asimétrica de "secreto hacia adelante perfecto", y podría reconstruir las sesiones de navegación mucho después del hecho. Cualquier otro programa con acceso a la estructura de carpetas de Windows también podría filtrar las claves, y usted nunca lo sabría.

¿Por qué Firefox y Chrome permiten una filtración tan fácil de estas claves de sesión? Leí algunas especulaciones de que esta era una función de depuración, pero ¿por qué se deja activada de forma predeterminada? Tenga en cuenta que otros navegadores no pierden las claves de sesión. ¿Debería preocuparme por esto?

    
pregunta Stone True 04.12.2015 - 20:29
fuente

3 respuestas

13
  

¿Por qué Firefox y Chrome permiten una filtración tan fácil de estas claves de sesión?

Para facilitar a los desarrolladores el análisis de sus capturas de red. La primera vez que utilicé esta función fue cuando intentaba comprender qué protocolo utiliza exactamente el noVNC basado en la web. Usando esta funcionalidad, pude descifrar el tráfico en Wireshark.

  

Leí algunas especulaciones de que esta era una función de depuración, pero ¿por qué se deja activada de forma predeterminada? Tenga en cuenta que otros navegadores no filtran las claves de sesión.

Por defecto, no se registran / filtran las claves. La función existe para aquellos que la necesitan (ver más arriba).

  

¿Debería preocuparme por esto?

No. Si alguien puede modificar el entorno de su sistema, tiene problemas más grandes. ¿No convencido? ¿Sabías que Chrome tiene una opción de línea de comando --disable-web-security ? Eso deshabilita las protecciones, como la Política del mismo origen, permitiendo que cualquier sitio web modifique el sitio web de su banco, por ejemplo. ¿Qué sucede con la capacidad de instalar extensiones de navegador que pueden escuchar todas de sus solicitudes HTTP y modificarlas sin generar errores de certificado?

No te preocupes por esta característica SSLKEYLOGFILE , no te afectará y es más probable que una la extensión del navegador robará todos tus datos o que alguien instale un certificado malicioso, realice un ataque de intermediario e inyecte anuncios .

    
respondido por el Lekensteyn 12.01.2016 - 22:09
fuente
7

Creo que la respuesta a estas preguntas solo puede ser: si desea desactivarlo, intente involucrarse con los desarrolladores o compile su propia versión y elimine la opción allí.

Sugerencia: activar el modo privado en el navegador debería desactivar esta función. Considere archivar esto en el bugtracker;)

Con respecto a la seguridad TLS / SSL: Recuerde, TLS significa seguridad a nivel de transporte, SSL significa capa de sockets seguros. Ambos solo se ocupan del transporte cifrado de datos. Lo que sucede en el punto final no se puede proteger de esa manera. Si no tiene control total sobre su PC (dispositivo de la empresa, cibercafé, etc.), siempre debe considerar la posibilidad de una fuga de datos local. Los datos deben ser descifrados dentro del dispositivo para que sean legibles para usted, y eso siempre será un punto débil. Imagine la inyección de certificado SSL donde todo el tráfico https se puede descifrar en el firewall de su empresa simplemente agregando un certificado de proxy de confianza completo en su PC, y ni siquiera lo notaría.

Entonces, aunque parezca una mala idea facilitar el registro tan fácilmente, para mí no es una violación del mecanismo de seguridad que hay detrás.

    
respondido por el flohack 08.12.2015 - 09:19
fuente
1

Firefox y Chrome permiten el registro de los materiales clave para habilitar las instalaciones de depuración alámbricas.

    
respondido por el Alain O'Dea 06.12.2015 - 19:57
fuente

Lea otras preguntas en las etiquetas