Thunderbird master\primary password bug
Hello, If you got a master\primary password configured in your TB, probably it is because you don't want other people can access to your accounts and mails.
Well, if you open TB and it will ask you for your master\primary password, you have just to select "cancel" a few times and you'll be able to see and navigate in the configured accounts. You can read all the mails, download the attachments and while doing it, if TB will ask you for master\primary password again, you have just to continue to press "cancel" and you'll be able to navigate everywhere and download anything, just as the owner!
I think it must be a bug, it's there since many versions and I found it in TB 91 too. To me, if you didn't type the right password you shouldn't be able to see anything in TB, even the configured account names.
I'm not sure if it's the right place to give this kind of feedback, but it's the only place I found. I didn't find it by myself but if it's not already there, I would like to suggest to TB devs to add a "give us a feedback" button somewhere inside TB client.
I hope this feedback can help you out. Many thanks for your work.
user4117886 trɔe
Ŋuɖoɖo si wotia
V. ha detto
Grazie per la risposta next, capisco la tua spiegazione e ti ringrazio di avermela fornita, ma se posso ti chiederei, allora a cosa serve avere impostata quella master password?
La master password serve ad impedire che un utente non autorizzato possa accedere al server. In altre parole la master password impedisce che un malintenzionato possa accedere al server di posta e possa inviare messaggi. Allo stesso modo impedisce la lettura dei messaggi ancora in giacenza sul server. Sembra poca cosa, ma in realtà è una funzione utile: Sicuramente avrai presenti le email di conferma o le email che contengono codici usa e getta, link di recupero password e simili; con la master password attiva non è possibile utilizzare queste funzioni anche se si ha accesso al computer ed a Thunderbird perché i nuovi messaggi non sarebbero scaricabili. Tieni conto inoltre che per non autorizzato non intendo solo utenti umani ma anche una variegata serie di virus/spyware.
Per completezza: in passato erano state sviluppate delle estensioni che bloccavano l'accesso a Thunderbird attraverso la master password. Non modificavano la situazione che ho descritto sopra (gli archivi rimanevano in chiaro) ma aggiungevano questo altro piccolo ostacolo. Ne trovi alcuni esempi qui: https://addons.thunderbird.net/it/thunderbird/search/?q=master+password&appver=&platform= Purtroppo non ne conosco nessuno che sia stato aggiornato per le versioni recenti di Thunderbird.
Se comunque pensi ti possa essere utile, tieni conto che esistono programmi di terze parti che possono bloccare con una password qualsiasi eseguibile. A puro titolo di esempio: https://www.kakasoft.com/exelockinfo/
Xle ŋuɖoɖo sia le goya me 👍 1All Replies (4)
Non è un bug e spiego brevemente il perché: Gli archivi di Thunderbird sono salvati in un formato chiamato mbox che è basato sul testo semplice. Questo significa che puoi leggere gli archivi di Thunderbird con qualsiasi editor di testo anche se il programma non è attivo. Una password di avvio non aggiungerebbe quindi alcuna sicurezza in più.
Per cambiare la situazione la master password dovrebbe applicare uno strato di crittografia agli archivi. Ma crittografare e decrittografare grandi archivi richiede molto tempo e quindi Thunderbird diventerebbe estremamente lento ed inutilizzabile. Inoltre se l'archivio fosse crittografato sarebbe impossibile recuperare il suo contenuto in caso di problemi.
Il tipo di protezione che cerchi lo fornisce la gestione account dei vari sistemi operativi che permette ad ogni utente del computer di leggere solo i propri file.
p.s. Sei nell'area di lingua italiana del Forum di Mozilla. Se hai bisogno di assistenza in inglese, il forum è questo: https://support.mozilla.org/en-US/questions/all
Grazie per la risposta next, capisco la tua spiegazione e ti ringrazio di avermela fornita, ma se posso ti chiederei, allora a cosa serve avere impostata quella master password? Nel senso, va bene che l'archivio mbox è fruibile da mille altri programmi, ma la master password dovrebbe impedire di fruirne semplicemente tramite il client TB già installato no? Non dovrebbe essere questa la sua funzione? Scusate ma non mi ero accorto di stare sulla pagina italiana.
Ɖɔɖɔɖo si wotia
V. ha detto
Grazie per la risposta next, capisco la tua spiegazione e ti ringrazio di avermela fornita, ma se posso ti chiederei, allora a cosa serve avere impostata quella master password?
La master password serve ad impedire che un utente non autorizzato possa accedere al server. In altre parole la master password impedisce che un malintenzionato possa accedere al server di posta e possa inviare messaggi. Allo stesso modo impedisce la lettura dei messaggi ancora in giacenza sul server. Sembra poca cosa, ma in realtà è una funzione utile: Sicuramente avrai presenti le email di conferma o le email che contengono codici usa e getta, link di recupero password e simili; con la master password attiva non è possibile utilizzare queste funzioni anche se si ha accesso al computer ed a Thunderbird perché i nuovi messaggi non sarebbero scaricabili. Tieni conto inoltre che per non autorizzato non intendo solo utenti umani ma anche una variegata serie di virus/spyware.
Per completezza: in passato erano state sviluppate delle estensioni che bloccavano l'accesso a Thunderbird attraverso la master password. Non modificavano la situazione che ho descritto sopra (gli archivi rimanevano in chiaro) ma aggiungevano questo altro piccolo ostacolo. Ne trovi alcuni esempi qui: https://addons.thunderbird.net/it/thunderbird/search/?q=master+password&appver=&platform= Purtroppo non ne conosco nessuno che sia stato aggiornato per le versioni recenti di Thunderbird.
Se comunque pensi ti possa essere utile, tieni conto che esistono programmi di terze parti che possono bloccare con una password qualsiasi eseguibile. A puro titolo di esempio: https://www.kakasoft.com/exelockinfo/
Ciao next buonasera, grazie di nuovo per la tua ulteriore risposta e la completezza delle informazioni che mi hai fornito. Si credo che valuterò l'utilizzo di qualche software di terze parti eventualmente, stavo pensando a qualcosa come ad esempio un contenitore criptato Veracrypt o simili per ospitare la cartella profilo di TB. Comunque se un qualcosa di simile venisse implementata nativamente su TB sarebbe molto utile in diversi casi a mio avviso, chissà staremo a vedere. Ti ringrazio ancora per la tua disponibilità, much appreciated!