Mind the age! Most likely, its content is outdated. Especially if it’s technical.
Na Lupě vyšel článek Hesla uložená v prohlížeči Chrome lze získat „až
překvapivě snadno“.
Hned mě napadlo, o čem to bude. Je tomu
nedávno, co jsem si všiml, jak snadno si lze hesla v nastavení prohlížeče
přečíst. Tím jsem si ještě více potvrdil, že je dobré k mému prohlížeči
nepouštět nikoho bez plné důvěry.
Zamýšlel jsem, proč je vůbec něco takového možné. Je mi jasné, že heslo je
stejně někde v podobě, kterou lze rozšifrovat. Musí, jinak by celá
funkcionalita byla k ničemu. V horším případě je někde v plain textu (což v
případě Chrome neplatí; data jsou šifrována). Přeci ale není důvod to nechat
přečíst kde komu na vyžádání bez jakékoliv crackovací utilitky. Nebo by to
alespoň mohlo být skryto za nějaké master password…
Pak mi to ale došlo. Je úplně jedno, jestli jsou uložená hesla v prohlížeči
nějak šifrována, jestli jdou či nejdou zobrazit nebo jestli jsou chráněny s
master password. Vše je irelevantní díky konzoli. Stačí otevřít stránku,
nechat si heslo předvyplnit, otevřít vývojářskou konzoli a napsat
document.getElementById("somepasswordinput").value a voilà! Existuje i
varianta pro nefanoušky JavaScriptu: otevře se konzole, klikne se na tlačítko
přihlásit a podívá se, jaká data v POST požadavku odešla.
Pro jistotu znovu: jakkoliv šifrovaná a zaheslovaná uložená hesla v prohlížeči
lze zjistit snadno. Stačí mít na chvilku přístup k prohlížeči.
Proto si myslím, že Google dělá dobrou věc. Možnost zadat master password ve
Firefoxu akorát vyvolává falešný pocit bezpečí. Opravdu jsem si kdysi dávno
myslel, že s master password je vše v pořádku. Až s Chromem jsem zjistil, jak
moc jsem se mýlil.
P.S.: Jestli má vůbec smysl řešit hesla, když se mi někdo dostane k počítači,
kde jsem všude přihlášen. ;)
6
reakcí
Když se naučíš zamykat si notes při každém odchodu, já to třeba dělám naprosto automaticky při zvedání ze židle, budeš o něco klidnější. Stejně tak mám heslo na lock screen u mobilu, protože na něm je to ještě o level nebezpečnější (sms autorizace - fb, google, e-banking)
Vosicz,
8. 8. 2013
ono stačí v té konzoli změnit typ inputu z "password" na "text", není potřeba JS ani odesílat formulář
jinak ta aféra, je typická okurkovka. tohle chování prohlížečů trvá už roky a nikdy to nikomu nevadilo
Rdm,
8. 8. 2013
@Vosicz To co říkáš samozřejmě dělám a všem doporučuju taktéž. Viz poslední věta v prvním odstavci. Příště nejdřív číst a pak psát co mám či nemám dělat, díky. :-)
@Rdm Samozřejmě, někdo si něčeho všimne, nedojde mu proč to tak je a rozjede vlnu. Chtěl jsem jen upozornit, že master heslo, jako má například Firefox, není o nic bezpečnější. Firefox tím jen mlží.
Michal Hořejšek,
8. 8. 2013
Master heslo by snad melo zamezit tomu, ze kdyz si stahnu soubor ve kterem jsou ulozena hesla, tak hesla neziskam ne? Takze urcitou vetsi uroven zabezpeceni to prinese. Napr. v pripade, ze se do pocitace dostane vir, ktery by se to pokusil precist. Samozrejme kdyz to bude zaroven keylogger, tak nam to asi nepomuze, ale stejne je to lepsi nez kompletne pristupna hesla.
Petr,
9. 8. 2013
feature: Mám nastavený dolní pravý roh, při najetí myšítkem se cca za 1 vteřinu zamkne stroj. A je to efektivní. Druhá rychlá možnost je na klávesovou zkratku :-).
tom,
9. 8. 2013
Na Macu jsou všechna hesla defaultně v systémové klíčence a lze nastavit, jak se mají používat. Typicky tak, že se při použití ptá na systémové heslo. (Takže se ho nedozvíte ani z konzole. Kromě toho, zatímco k použití konzole je třeba navštívit příslušnou stránku s loginem, Chrome nabízí pěkně všecka hesla na jednom místě.)
I pokud se tedy nedej bože někdo dostane k nezamčeném notebooku, nezjistí hesla.
Chrome tohle bohužel obchází a i hesla, která jsou v klíčence, si kopíruje k sobě, takže jsou pak nezabezpečená komukoliv k dispozici.
v kategorii 
kanálu