Mozilla publiceert security-audit van Firefox Accounts

[Captain Kirk]

Vorig jaar heeft een Duits securitybedrijf een audit van Firefox Accounts uitgevoerd dat 15 lekken heeft opgeleverd, zo blijkt uit het rapport dat Mozilla openbaar heeft gemaakt (pdf). Firefox Accounts is het accountsysteem waarmee Firefoxgebruikers door Mozilla aangeboden diensten kunnen gebruiken.

Het gaat dan bijvoorbeeld om Firefox Sync en Firefox Marketplace. "Als de centrale authenticatiedienst van Firefox is Firefox Accounts een natuurlijk eerste doelwit. De beveiliging is van groot belang voor miljoenen gebruikers die er gebruik van maken om op onze gevoeligste diensten in te loggen, zoals addons.mozilla.org en Sync", zegt Mozilla's Greg Guthe. Het Duitse Cure53 voerde een audit uit van de webdiensten waar Firefox Accounts gebruik van maakt en het cryptografische protocol dat wordt gebruikt om gebruikersaccounts en data te beschermen.

In totaal werden 15 kwetsbaarheden gevonden. Geen van de lekken is echter aangevallen of zorgde ervoor dat de gegevens van gebruikers risico lopen, aldus Guthe. Het gaat onder andere om cross-site scripting, html-injectie en een zwakke client-side key stretching om bruteforce-aanvallen op wachtwoorden tegen te gaan, aldus het rapport. Volgens de onderzoekers is het Firefox Accounts-platform robuust en zijn de gevonden kwetsbaarheden, op het probleem met de zwakke key stretching na, eenvoudig te verhelpen. Mozilla zegt dat het de ernstigste problemen uit het rapport heeft opgelost.

 

 

bron: security.nl