Браузер Chrome обвинили в небрежном хранении паролей
12:10 08/08/2013 Наука и техника
| „ | Н-да, велика разница, потратят на воровство моих паролей 10 или 15 секунд.
Тем более, в хроме они тоже шифруются, если у используемой учётной записи Windows есть пароль. Кто не использует пароль и не нажимает Win+L, отходя от ПК, есть ССЗБ. | “ |
Британский IT-специалист Элиот Кембер обвинил компанию Google в небрежном обращении с пользовательскими паролями. Он указал на то, что получивший случайный доступ к компьютеру злоумышленник может за считанные секунды выяснить пароли, хранящиеся браузером Google Chrome. Корпорация уже выступила с ответным заявлением, в котором эта проблема признается не столь уж серьезной на фоне других угроз, связанных с попаданием устройства в чужие руки.
Метод, при помощи которого можно подсмотреть чужой пароль, крайне прост. Достаточно подойти к оставленному без присмотра чужому ноутбуку и набрать в адресной строке браузера chrome://settings/passwords (причем адрес будет подсказан системой автозаполнения адресной строки). Далее в появившемся окне можно будет просмотреть перечень тех сайтов, для которых пользователь сохранил пароли и увидеть сами пароли: правда, для открытия их придется еще нажать на кнопку «Показать» рядом с закрытыми точками символами.
Столь легкий способ получения доступа к паролям возмутил Кембера и он опубликовал соответствующий пост в своем блоге. Как пишет The Verge, отвечающий за безопасность браузера Chrome Джастин Шу (Justin Schuh) разработчик уже прокомментировал описанную британским программистом особенность. По словам Шу, это нельзя считать критической уязвимостью потому, что получивший физический доступ к устройству человек и без этого обладает массой возможностей для кражи конфиденциальной информации.
Обозреватель The Verge Мэтт Брайан при этом отмечает, что в других браузерах подобная информация все-таки становится доступна далеко не сразу. Так, в Firefox для этого надо сначала зайти в настройки браузера (Edit — Preferences), потом выбрать вкладку Security, нажать на кнопку Saved Passwords и только потом выбрать пункт Show passwords, который вдобавок попросит подтверждения в отдельном всплывающем окне с кнопками «да/нет». Причем если перед этим задать так называемый Master password (эта опция по умолчанию выключена), то программа запросит еще и его перед тем, как открыть секретную информацию. Аналогичный механизм предусмотрен в Internet Explorer.
Комментирование разрешено только первые 24 часа.
Комментарии(18):
| 14 +14−0 | John Doe | 11:31:46 08/08/2013 |
Н-да, велика разница, потратят на воровство моих паролей 10 или 15 секунд. Тем более, в хроме они тоже шифруются, если у используемой учётной записи Windows есть пароль. Кто не использует пароль и не нажимает Win+L, отходя от ПК, есть ССЗБ. | ||
| 7 +7−0 | igoivo | 12:54:30 08/08/2013 |
млин, действительно. Теперь буду знать, где посмотреть пароли, коли забуду. | ||
| 6 +6−0 | Herr Mannelig | 14:27:44 08/08/2013 |
хотел показать коллеге, а он говорит "а я не сохраняю, зачем?" ) | ||
| 5 +7−2 | Кирилл Рябов | 11:21:47 08/08/2013 | ||||||
| ||||||||
Смысла нет. Разве что от полных ламеров | ||||||||
| 3 +4−1 | Коля Басков | 11:18:08 08/08/2013 |
эт да. сам замечал. обязаны исправить | ||
| 2 +2−0 | Даниил Рыжков | 14:33:58 08/08/2013 | ||||||
| ||||||||
На маках, например, все эти пароли шифруются кейчейном. Без пароля пользователя — не вскрыть | ||||||||
| 2 +2−0 | Mike Zelimkhanov | 12:05:05 08/08/2013 |
Комментарий удалён. | ||
мастер пароль слегка остудит | ||
| 1 +1−0 | Alexander Ustimenko | 15:08:37 08/08/2013 | ||||||
| ||||||||
Рынок подскажет -- надо или нет. Девелопер != продукт менеджеру. Когда девелоперы принимают решения о продукте -- это начало конца. Подход про "если кто-то получил доступ, то уже жоппа" -- абсолютно туп. Ибо доступ можно получить на день, а можно на 5 сек. и уйти. Раскольников смог свалить с места преступления именно потому, что кто-то оставил открытой дверь, а тот, кто д.б. стоять -- свалил. Время -- ценно, так что аргумент ниочем. | ||||||||
| 1 +1−0 | Capitan Nemo | 13:58:29 08/08/2013 |
не понял суть претензий, зайти и посмотреть в настройках проблема? | ||
| 1 +2−1 | Евгений Вайкулис | 11:59:49 08/08/2013 |
Это не баг, это фича! | ||
| 0 +0−0 | Pete | 10:25:47 13/08/2013 |
А теперь подскажите как в Опере посмотреть пароли ;) | ||
| 0 +0−0 | alex smirnov | 06:41:48 09/08/2013 |
Это не баг, а фича! Более того - конкурентное преимущество | ||
| 0 +0−0 | Кирилл Рябов | 16:38:43 08/08/2013 | ||||||
| ||||||||
Введут не 5 нажатий мышкой для выполнения этой функции, а 5 тыс. Ну будет и добропорядочный пользователь день добираться до нужных ему данных - это что ли экономия времени? Или вы про какой-то другой метод говорите? | ||||||||
| 0 +0−0 | Кирилл Рябов | 16:24:13 08/08/2013 | ||||||
| ||||||||
И так BitLocker можно поставить - то же самое, только вообще ничего не вскрыть. Проблема в том, что пользователь допускает посторонних к незаблокированному компьютеру. А её не разработчики решать должны. | ||||||||
| 0 +0−0 | Алексей Тимошенко | 15:37:08 08/08/2013 | ||||||
| ||||||||
В Firefox есть еще опция мастер-пароля, так что 15 секундами все не ограничится. | ||||||||
| 0 +1−1 | Петров Иван | 13:26:43 08/08/2013 |
Запретить Chrome. Сделать свой православный хром-ванадий на уралвагонзаводе.. | ||
| 0 +0−0 | zpk Славутич | 12:55:00 08/08/2013 |
КЕП не дремлет | ||
| -2 +3−5 | Val Kaminski | 16:12:58 08/08/2013 | ||||||
| ||||||||
Маки – это совсем другой продукт, совсем другого уровня. Это как обсуждать, почему на "жигулях" нет коробки-автомата, когда на всех "вольвах" и даже на "фордах" она есть. Просто не надо сохранять пароли. Отключить надо функцию сохранения пароля и набирать пароль при каждом входе, если есть что-то, что нужно скрыть. Вот лично мне, например, скрывать совершенно нечего :) Не надо быть ленивым, не лениться пальцами шевелить, если у тебя "ручная коробка". Вот и всё. И никаких проблем. И на "жигулях" можно прекрасно ездить, если на другое денег не хватает. | ||||||||