В браузере Google Chrome была выявлена серьезная уязвимость, с помощью которой любой пользователь компьютера имеет возможность просмотреть пароли владельца ПК: к электронной почте, соцсетям и другим данным, непосредственно с панели настроек web-обозревателя. Для этого вводить мастер-пароль не нужно.
Для того чтобы увидеть пароли, необходимо нажать на кнопку «Настройки», перейти в раздел «Показать дополнительные настройки», а затем в разделе «Пароли и формы» – «Управление сохраненными паролями».
В отдельном диалоговом окне появится список сохраненных паролей. Интересно, что сначала пароли скрыты, но после нажатия кнопки «Показать» вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.
Руководитель команды разработчиков браузера Джастин Шух сообщил, что он знал о существовании данной бреши, но он не планировал ее устранять. Это возмутило Тима Бернерса-Ли, изобретателя Всемирной паутины, и в своем блоге в Twitter ученый написал: «как заполучить все пароли старшей сестры… и разочаровывающая реакция команды Chrome».
Эллиотт Кембер - человек, нашедший брешь, заявил: «В мире, где Google рекламирует свой браузер на YouTube, в анонсах кино и на билбордах, чистая аудитория обозревателя – это не разработчики, а пользователи. Подавляющее большинство. Они не знают принципа работы. Они не ожидают, что пароли можно просмотреть так легко. Каждый день миллионы обычных пользователей сохраняют свои пароли в Chrome. Так не должно быть».
Google Chrome входит в тройку лидеров среди web-обозревателей. Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, но компании сразу же выпустили исправления.
«Нас неоднократно спрашивали, почему мы просто не внедрим поддержку мастер-пароля или чего-то в этом роде, даже если мы не верим, что он может работать. Мы обсуждали этот вопрос, раз за разом и всегда приходили к выводу, что не хотим предоставлять пользователям чувство ложной безопасности и поощрять рискованное поведение. Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему» - написал Шух в блоге Hacker News.
Версия для печати
Комментарии
Страницы
Вообще-то достать пароли из любого браузера всегда было не сложной задачей. Другое дело что для этого требовалось ПО третьих производителей. Ну а Google решил проблему кардинально. Просто показав все сразу :)
Вот поэтому я обычно не сохраняю пароли в браузере, за некоторыми исключениями, например, для "Вестей". Зарегился -- логин и пароль заношу в скрытый шифрованный файл. Копию держу в облаке.
Лично я некоторое время назад перешел на использование сервиса LastPass - и очень доволен. У него есть расширения для всех браузеров. Он сам автозаполняет форму логина/пароля. Кроме того, у него есть и веб-интерфейс, так что можно зайти и посмотреть пароль с любого "чужого" компа. Весьма удобно.
Но для владельцев сервиса ваша инфа ИМХО не секрет. И ХЗ, кто этот сервис создал...
Меня это не беспокоит. Важные пароли - к интернет-банкингу, к вебманям, к основной почте - я держу в голове, а если кто-то подсмотрит мой пароль к какому-нибудь торрент-трекеру или форуму - флаг ему в руки.
Ну и чем это лучше десктопного софта для пассвордов? Много вы в трекеры с чужого компьютера заходите?
Лучше тем, что нет привязки к компу.
Пример 1. Пришел я в гости к другу, а пока он нарезает закусь :) - я зашел на этот форум почитать/написать комменты. При этом мне не надо таскать с собой флэшку с паролями, не надо инсталлировать/запускать софт на чужом компе, не надо вспоминать пароль (и даже логин) от учетной записи на форуме - достаточно сходить на сайт LastPass за паролем.
Пример 2. Лежу с планшетом на диване. Понадобилось посмотреть, есть ли на трекере определенная раздача. Не надо отрывать задницу от дивана и идти к компу - опять же идем на LastPass.
Пример 3. Иногда мне приходится запускать на своем компе Убунту. Чтобы куда-то зайти, не надо перегружаться в Винду, просто устанавливаю в Огнелисе для Убунту плагин LastPass'а - и все пароли у меня под рукой.
Т.е. это похоже на хранение файлика в облаке, как у mike, но LastPass специально заточен под хранение именно паролей, следовательно, удобнее.
Сударь, вы тут расписались в том, что самостоятельно отдали "дяде" из LastPass свои пароли )))
И что дальше? Как это повлияло на мою жизнь?
Рано или поздно LastPass сливает Викиликс все пароли. Наверное.
Страницы