יום שישי, יולי 18, 2014

מוזילה חסמו את האפשרות להזדהות ב NTLMv1 כברירת מחדל

ביצעתי שידרוג דביאן לסיד, ולזוועתי גיליתי כי לא ניתן להתחבר למספר שירותים שרצים ע"ג IIS באמצעות iceweasel  30 -חלונית ההזדהות לא קפצה.

בדיקה עם konqueror הראתה כי התקלה היא בדפדפן מבוסס מוזילה גירסה 30 ולא בצד השרת.

לאחר חיפוש מצאתי כי מוזילה החליטו לחסום את אפשרות ביצוע זיהוי NTLMv1 כברירת מחדל, משם הדרך היתה קצרה לאיך לאפשר את הנושא.

לא זכורה לי התראה בנושא בעת שידרוג החבילה בדביאן, ידוע לי שזה שינוי upstream אבל חסימת האפשרות לבצע הזדהות זה קצת קריטי ושובר דברים אז אולי יהיה שווה להכריז על זה בזמן השידרוג.

לאפשור הנושא יש ללכת ל about:config ושם להחליף מצב ב
 network.negotiate-auth.allow-insecure-ntlm-v1

וכן אין פה טעות תודות לפיטצר הזה גישה למייל תאגידי באמצעות owa תחסם , גם sharepoint ועוד שירותים אחרים וטובים אם הם לא שידרגו למערכת הזדהות אחרת.

לקריאה מה טקנט אומרים על הנושא ב 2006 -

http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

תגובה 1:

  1. זה בהערות השחרור:
    https://developer.mozilla.org/en-US/Firefox/Releases/30/Site_Compatibility#Security

    The support for the NT LAN Manager version 1 (NTLMv1) network authentication has been disabled because it's known as insecure. Companies and organizations still deploying the older protocol should upgrade to NTLMv2.

    השבמחק