`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Не устраненная уязвимость – истерия для масс

+46
голосов

Думаю вы уже успели узнать очередные «ужасные» новости о Chrome и Safari, которые, без сомнения, стали заметными ИБ-событиями прошедшей недели. Интерес к подобным новостям, в принципе, всегда понятен – все-таки Chrome – один из популярнейших браузеров, который делает не кто-нибудь, а «Корпорация Добра», которой приятно перемыть кости. Что непонятно, так это почему поднялась паника вокруг данного заурядного события.

Вообще-то про эту функцию подавляющего большинства браузеров (а не только «Хрома») известно любому мало-мальски опытному пользователю. Идем в настройки того же Firefox, нажимаем «Защита», потом «Сохраненные пароли» и смотрим их точно так же, как в случае с Chrome по ссылке выше. Вот мы и стали злостными хакерами, ура-ура!

Продолжаем «взломы». Запускаем менее известный на Западе, но очень популярный у нас браузер Opera. Штатным средством посика Windows ищем файл «wand.dat». В нем Opera хранит пароли – не поверите – в зашифрованном виде. Заходим в Google (для этого и нужно было запускать «Оперу»), ищем и находим по первой же ссылке утилитку Unwand, ноторой скармливаем найденный файл. И что бы вы думали? Опять-таки, видим все пароли.

В общем, суть, я думаю, ясна. Понятно и то, что ни один браузер «не заботится о нашей безопасности». Страх и ужас.

Также понятно, что хранить пароли в браузере тому, кому на них не наплевать – последнее дело, как и вагонные споры. Есть специальные программы для хранения паролей, а вообще, лучше пароли запоминать в голове, а не на компьютере. У меня, к примеру, нет в браузере ни одного сохраненного пароля, при том, что для всех сайтов они разные, и это не 111, 222, 333 и так далее.

Так что никакой новости для тех, кто «в теме», вся эта истерика по поводу Chrome и других браузеров не несет. Она рассчитана на массу безграмотных пользователей, которые и понятия не имели, что там дальше происходит после нажатия но кнопку «запомнить пароль». Так что, пользуясь случаем, хочу напомнить вам, чтобы вы напомнили ИМ про то, как НЕ следует хранить пароли :)

Не устраненная уязвимость – истерия для масс

+46
голосов

Напечатать Отправить другу

Читайте также

Она рассчитана на массу безграмотных пользователей, которые и понятия не имели, что там дальше происходит после нажатия но кнопку «запомнить пароль».

Дело не в незнании что там происходит. Пользователь не обязан это знать. Вы что, знаете как работают в вашем автомобиле все узлы? Думаю, что только в общих чертах.

Да и пользовались Chrome не только "масса безграмотных пользователей", но и масса грамотных специалистов вроде вас.

Так вот, программист обязан знать "внутренности" своего продукта и в том месте, где может быть потенциальная угроза, информировать пользователя о ней.
Так что правильно всё раструбили. А то до этой "дыры" еще долго руки не дошли бы.

Поэтому (IMHO) ваши замечания по поводу истерии вокруг публикации "ужасных" новостей мне кажутся неуместными. В смысле - а где вы раньше были???

Стиль этого блога предполагает авторские комментарии к тем или иным событиям. Автор высказал свою точку зрения, а Вы вольны согласиться с ним или нет

Да, собственно, тут и был. Хранил пароли в голове с помощью придуманной "запоминалки". А к хранению паролей в браузере относился со скепсисом.

Вот и нужно было об этом рассказать раньше.
Глядишь, и количество грамотных пользователей увеличилось бы :)
В целом, за статью спасибо.

Да оно как-то воспринималось, как "фича". Лет 5 назад мать забыла пароль от почты, но он был сохранён в Опере. Тогда-то и пригодился Unwand :)

Позволю себе порекомендовать вам ознакомиться с моим блогом на sec.ru Он исключительно "статейный". К сожалению, репостить статьи ресурс не разрешает: http://daily.sec.ru/authorpbls.cfm?aid=484

Спасибо, посмотрю.

конечно не обязательно знать как работают в автомобиле все узлы, но ПДД знать обязательно.

Разница в том, что ПДД опубликованы, а до всяких тонкостей конкретного софта часто нужно копать поглубже. А у рядового пользователя своих задач хватает.

А в чем суть проблемы-то - в том, что
1. браузеры хранят пароли локально,
2. они (не все) их не шифруют,
3. у пользователя есть возможность этот самый пароль посмотреть?
Если к шифрованию еще можно придраться (хотя пример Оперы показывает, что на всякий хитрый болт), то чем не угодили пп 1 и 2?

На мой взгляд проблема в том, что стоило хотя бы при нажатии кнопки "Запомнить пароль" выводить предупреждение о том, что это небезопасно.

выводить предупреждение о том, что это небезопасно

Если смотреть шире, то подобное предупреждение нужно "выводить" перед тем, как пользователь за ПК сел, ну а если совсем уж режим параноика включать - то не пользоваться ПК вовсе.

Никто не отменял принцип разумной достаточности. Обязали же порносайты выставить "заглушку", чтобы при заходе на ресурс требовалось нажать "Да, мне больше 18".

Не вижу ничего плохого, чтобы в браузере-таки выставить предупреждение о небезопасности хранения пароля, когда пользователь нажимает кнопку "запомнить". А чтобы знающим и понимающим не надоедать, добавить чекбокс "Больше не показывать это сообщение". И всем будет счастье.

Я теж не розумію істерії. Мені зручно, що браузер пам'ятає паролі до всіх тих сайтиків які вважають себе вкрай важливими...
І мені зручно, що я можу побачити пароль коли я його забув.
А якщо "великий брат" захоче дізнатися мої паролі до всіх цих сайтиків, нехай краще візьме з мого жорсткого диску ніж паяльно-ректальним способом. :)
Мене це теж цілком влаштовує.
У чому власне проблема? У тому, що Вікна все ще не мають нормального розподілу повноважень різних користувачів? Так це не проблема браузерів, шановні.

Проблема в том, что пользователи хранят таким способом не только пароли от всяких неважных сайтов, но и от онлайн-банкинга, платёжных систем и т.д.

но и от онлайн-банкинга, платёжных систем и т.д.

Нормальные системы как ОБ, так и всевозможных платежек мало того, что постоянно напоминают о безопасности, но и просто не дают браузеру запоминать не только пароли, но и логины (что раздражает, когда нужно заполнить форму из 10 полей, и все нужно вводить заново) - так что тут мимо.

зависит от системы. у моего банка всё описанное разрешено.

+100500

Якщо є нормальна система розмежування прав, це не проблема. Хоча да, краще тримати найважливіше лише в голові. Проблема є лише якщо до цих даних можливо отримати доступ крізь саму програму ініціювавши якісь запити до клієнта.
А коли бандитам чи органам знадобляться Ваші паролі, вони запитають безпосередньо у Вас. І не думаю, що Ви будете грати у піонера-героя.

Так и есть. Но мне кажется более вероятной для обычного человека угроза со стороны мошенников, чем государства.

Ну так шахраям наші громадяни і без переглядача всі свої дані викладуть на золотій тарілочці. На те вони і шахраї. :)

Ні, я не проти попередження яке можливо прибрати, щоб не набридало. Я не розумію де тут проблема і дірка у безпеці. Якщо у Вас беспарольний вхід у комп, то це дірка у безпеці. Якщо нема розмежувань прав доступу, то це теж дірка. А зберігання паролів локально... це не дірка. Це зручність не забивати собі голову неважливими дрібницями. :)

Проблема буде коли Ви загубите комп з кучкою паролів. Або передасте його іншим забувши про паролі. Тут да. Але то вже трохи інша проблема.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT