Uložená hesla v prohlížeči rozhodně nejsou v bezpečí

Na Lupě vyšel článek Hesla uložená v prohlížeči Chrome lze získat „až překvapivě snadno“. Hned mě napadlo, o čem to bude. Je tomu nedávno, co jsem si všiml, jak snadno si lze hesla v nastavení prohlížeče přečíst. Tím jsem si ještě více potvrdil, že je dobré k mému prohlížeči nepouštět nikoho bez plné důvěry.

Zamýšlel jsem, proč je vůbec něco takového možné. Je mi jasné, že heslo je stejně někde v podobě, která lze rozšifrovat. Musí, jinak by celá funkcionalita byla k ničemu. V horším případě je někde v plain textu (což v případě Chrome neplatí; data jsou šifrována). Přeci ale není důvod to nechat přečíst kde komu na vyžádání bez jakékoliv crackovací utilitky. Nebo by to alespoň mohlo být skryto za nějaké master password…

Pak mi to ale došlo. Je úplně jedno, jestli jsou uložená hesla v prohlížeči nějak šifrována, jestli jdou či nejdou zobrazit nebo jestli jsou chráněny s master password. Vše je irelevantní díky konzoli. Stačí otevřít stránku, nechat si heslo předvyplnit, otevřít vývojářskou konzoli a napsat document.getElementById("somepasswordinput").value a voilà! Existuje i varianta pro nefanoušky JavaScriptu: otevře se konzole, klikne se na tlačítko přihlásit a podívá se, jaká data v POST požadavku odešla.

Pro jistotu znovu: jakkoliv šifrovaná a zaheslovaná uložená hesla v prohlížeči lze zjistit snadno. Stačí mít na chvilku přístup k prohlížeči.

Proto si myslím, že Google dělá dobrou věc. Možnost zadat master password ve Firefoxu akorát vyvolává falešný pocit bezpečí. Opravdu jsem si kdysi dávno myslel, že s master password je vše v pořádku. Až s Chromem jsem zjistil, jak moc jsem se mýlil.

P.S.: Jestli má vůbec smysl řešit hesla, když se mi někdo dostane k počítači, kde jsem všude přihlášen. ;)

6 responses
Když se naučíš zamykat si notes při každém odchodu, já to třeba dělám naprosto automaticky při zvedání ze židle, budeš o něco klidnější. Stejně tak mám heslo na lock screen u mobilu, protože na něm je to ještě o level nebezpečnější (sms autorizace - fb, google, e-banking)
ono stačí v té konzoli změnit typ inputu z "password" na "text", není potřeba JS ani odesílat formulář jinak ta aféra, je typická okurkovka. tohle chování prohlížečů trvá už roky a nikdy to nikomu nevadilo
@Vosicz To co říkáš samozřejmě dělám a všem doporučuju taktéž. Viz poslední věta v prvním odstavci. Příště nejdřív číst a pak psát co mám či nemám dělat, díky. :-) @Rdm Samozřejmě, někdo si něčeho všimne, nedojde mu proč to tak je a rozjede vlnu. Chtěl jsem jen upozornit, že master heslo, jako má například Firefox, není o nic bezpečnější. Firefox tím jen mlží.
Master heslo by snad melo zamezit tomu, ze kdyz si stahnu soubor ve kterem jsou ulozena hesla, tak hesla neziskam ne? Takze urcitou vetsi uroven zabezpeceni to prinese. Napr. v pripade, ze se do pocitace dostane vir, ktery by se to pokusil precist. Samozrejme kdyz to bude zaroven keylogger, tak nam to asi nepomuze, ale stejne je to lepsi nez kompletne pristupna hesla.
feature: Mám nastavený dolní pravý roh, při najetí myšítkem se cca za 1 vteřinu zamkne stroj. A je to efektivní. Druhá rychlá možnost je na klávesovou zkratku :-).
Na Macu jsou všechna hesla defaultně v systémové klíčence a lze nastavit, jak se mají používat. Typicky tak, že se při použití ptá na systémové heslo. (Takže se ho nedozvíte ani z konzole. Kromě toho, zatímco k použití konzole je třeba navštívit příslušnou stránku s loginem, Chrome nabízí pěkně všecka hesla na jednom místě.) I pokud se tedy nedej bože někdo dostane k nezamčeném notebooku, nezjistí hesla. Chrome tohle bohužel obchází a i hesla, která jsou v klíčence, si kopíruje k sobě, takže jsou pak nezabezpečená komukoliv k dispozici. Což je podle mě dost špatně.