Guida Firefox VS Chrome - chi è più sicuro?

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Le opinioni sono contrastanti, ma come capire qual è veramente il più sicuro fra i due? Google Chrome è il più sicuro fra i due, in base a come gestisce la sicurezza delle password salvate.

1. Mozilla Firefox: un attaccante che è penetrato con successo nel vostro dispositivo, per hackerare Mozilla ha bisogno solamente di scaricare 2 file: key4.db e logins.json. Key4.db contiene la chiave per decriptare le password contenute in logins.json, e l'operazione può essere fatta localmente. Mozilla Firefox, per impedire che questo accada, offre all'utente la possibilità di impostare una password ausiliare che protegge tutte le altre, tuttavia questa password può essere reperita semplicemente facendo keylogging, phishing, usando un bruteforce (qualora sia debole), poi mettici che il target è anche deficente e la scrive in un .txt sul Desktop, ciaone.
L'unico motivo per cui Firefox dovrebbe essere scelto a fronte di Chrome, è perché risulta più "agile" sul web. Il vero scopo di questo browser, è servire la prestazione, piuttosto che la sicurezza. Firefox, per navigare sul web non usa una libreria di certificati presente nel vostro dispositivo, usando piuttosto le sue librerie di certificati personali per funzionare. Questo spiega anche come Windows XP sia ancora in grado di navigare decentemente sul web con Firefox 52 ESR o con Mypal (fork di Firefox per Windows XP), dato che quest'OS ha i certificati SSL/TLS nativi scaduti.

2. Google Chrome: Google si rende conto che la sicurezza non basta mai, su Metasploit è presente un modulo denominato "enum_chrome.rb", uno script in ruby che ha lo scopo di reperire le password, i cookie e i dati di navigazione di questo browser, che tuttavia non funziona più, perché l'exploit è stato fixato da Google a partire dalla build 80. Chrome cripta dapprima le password in AES256, in seguito aggiunge auomaticamente una chiave arbitraria, anch'essa criptata in AES256, e tutto questo lo fa sotto gli stessi privilegi dell'utente che ha generato i dati da salvare. Attaccare questo browser con un exploit non è facile, e inoltre la maggior parte delle tecniche viabili per farlo, come l'ausilio di mimikatz, sono scoperte da Windows Defender. Non so come sia la situazione su OSX che usa xProtect, la controparte di Defender per OSX, ma non è facile hackerare Chrome senza "un'azione di forza" sul dispositivo, dato che usa 2 layer di encryption con dei privilegi specifici.

Morale della storia: se siete bravi a prevenire con la vostra testa i rischi su Internet, Firefox è buonissimo, con o senza master password. Se tendete invece a visitare siti frettolosamente perché magari non vi va di stare troppo al telefono o al computer senza pensare troppo alle conseguenze, vi raccomando Chrome. Non è facile bucare questo browser, e il team di Google cerca sempre di fixare ogni falla di sicurezza prima ancora che vengano scoperte dai cosiddetti "threat actors".
 
Non credo che il fatto che non si trovino molti script per decifrare le password di Chrome lo renda più sicuro. A livello di 0day sono messi molto bene entrambi, se ne trovano ma pochissimi e questo fa si che il costo di usarli sia molto elevato. Per quanto riguarda le password, l'unico motivo per cui molti script si fermano alla versione 80 di chrome non è perché sia diventato più difficile ma solo perché non sono stati aggiornati. Basta un implementazione di AES GCM e una chiamata a CryptUnprotectData per recuperare la chiave. Sono entrambi ottimi browser e molto sicuri, personalmente preferisco Firefox perché è più configurabile, resiste meglio al fingerprinting (se configurato) e soprattutto non manda info in background a Google :)
 
Io preferisco usare la mia testa invece che delegarmi a un browser o a un AV per navigare su internet, ma dato che sono geloso della mia privacy preferisco Firefox, e lo uso pure senza la master. Se mi entri con un exploit sei in grado di rovinarmi la vita perché ho i login dell'università, del conto bancario ecc. su Firefox, tuttavia per farmi cliccare su un link strano devi puntarmi una pistola alla tempia.
Messaggio unito automaticamente:

Ci sono certi che per farti cliccare abusano di una funzione che ti fa sostituire del testo arbitrario al link vero nei form ma per sgamare basta che ti fermi con il cursore sul collegamento e spunta il link vero -.-''

Sui telefoni non so come si fa ma su PC li sgamo così gli scammer
 
Dopo 5 mesi in cui nel frattempo sono migliorato mi accorgo che questo thread che ho scritto è una bella boiata, perché non è asolutamente vero che Chrome è ultra-sicuro... Sono indeciso se eliminare il thread, ma visto che il tuo intervento ha chiarito i punti errati penso di lasciarlo, grazie Junk.
 
  • Mi piace
Reazioni: JunkCoder