Uložená hesla v prohlížeči rozhodně nejsou v bezpečí

cs v kategorii code • 2 min. čtení
Mind the age! Most likely, its content is outdated. Especially if it’s technical.

Na Lupě vyšel článek Hesla uložená v prohlížeči Chrome lze získat „až překvapivě snadno“. Hned mě napadlo, o čem to bude. Je tomu nedávno, co jsem si všiml, jak snadno si lze hesla v nastavení prohlížeče přečíst. Tím jsem si ještě více potvrdil, že je dobré k mému prohlížeči nepouštět nikoho bez plné důvěry.

Zamýšlel jsem, proč je vůbec něco takového možné. Je mi jasné, že heslo je stejně někde v podobě, kterou lze rozšifrovat. Musí, jinak by celá funkcionalita byla k ničemu. V horším případě je někde v plain textu (což v případě Chrome neplatí; data jsou šifrována). Přeci ale není důvod to nechat přečíst kde komu na vyžádání bez jakékoliv crackovací utilitky. Nebo by to alespoň mohlo být skryto za nějaké master password…

Pak mi to ale došlo. Je úplně jedno, jestli jsou uložená hesla v prohlížeči nějak šifrována, jestli jdou či nejdou zobrazit nebo jestli jsou chráněny s master password. Vše je irelevantní díky konzoli. Stačí otevřít stránku, nechat si heslo předvyplnit, otevřít vývojářskou konzoli a napsat document.getElementById("somepasswordinput").value a voilà! Existuje i varianta pro nefanoušky JavaScriptu: otevře se konzole, klikne se na tlačítko přihlásit a podívá se, jaká data v POST požadavku odešla.

Pro jistotu znovu: jakkoliv šifrovaná a zaheslovaná uložená hesla v prohlížeči lze zjistit snadno. Stačí mít na chvilku přístup k prohlížeči.

Proto si myslím, že Google dělá dobrou věc. Možnost zadat master password ve Firefoxu akorát vyvolává falešný pocit bezpečí. Opravdu jsem si kdysi dávno myslel, že s master password je vše v pořádku. Až s Chromem jsem zjistil, jak moc jsem se mýlil.

P.S.: Jestli má vůbec smysl řešit hesla, když se mi někdo dostane k počítači, kde jsem všude přihlášen. ;)






6 reakcí

Když se naučíš zamykat si notes při každém odchodu, já to třeba dělám naprosto automaticky při zvedání ze židle, budeš o něco klidnější. Stejně tak mám heslo na lock screen u mobilu, protože na něm je to ještě o level nebezpečnější (sms autorizace - fb, google, e-banking)

ono stačí v té konzoli změnit typ inputu z "password" na "text", není potřeba JS ani odesílat formulář

jinak ta aféra, je typická okurkovka. tohle chování prohlížečů trvá už roky a nikdy to nikomu nevadilo

@Vosicz To co říkáš samozřejmě dělám a všem doporučuju taktéž. Viz poslední věta v prvním odstavci. Příště nejdřív číst a pak psát co mám či nemám dělat, díky. :-)

@Rdm Samozřejmě, někdo si něčeho všimne, nedojde mu proč to tak je a rozjede vlnu. Chtěl jsem jen upozornit, že master heslo, jako má například Firefox, není o nic bezpečnější. Firefox tím jen mlží.

Master heslo by snad melo zamezit tomu, ze kdyz si stahnu soubor ve kterem jsou ulozena hesla, tak hesla neziskam ne? Takze urcitou vetsi uroven zabezpeceni to prinese. Napr. v pripade, ze se do pocitace dostane vir, ktery by se to pokusil precist. Samozrejme kdyz to bude zaroven keylogger, tak nam to asi nepomuze, ale stejne je to lepsi nez kompletne pristupna hesla.

feature: Mám nastavený dolní pravý roh, při najetí myšítkem se cca za 1 vteřinu zamkne stroj. A je to efektivní. Druhá rychlá možnost je na klávesovou zkratku :-).

Na Macu jsou všechna hesla defaultně v systémové klíčence a lze nastavit, jak se mají používat. Typicky tak, že se při použití ptá na systémové heslo. (Takže se ho nedozvíte ani z konzole. Kromě toho, zatímco k použití konzole je třeba navštívit příslušnou stránku s loginem, Chrome nabízí pěkně všecka hesla na jednom místě.)

I pokud se tedy nedej bože někdo dostane k nezamčeném notebooku, nezjistí hesla.

Chrome tohle bohužel obchází a i hesla, která jsou v klíčence, si kopíruje k sobě, takže jsou pak nezabezpečená komukoliv k dispozici.

Což je podle mě dost špatně.





Může se vám také líbit

en Makefile with Python, November 6, 2017
en Fast JSON Schema for Python, October 1, 2018
en Deployment of Python Apps, August 15, 2018
cs Jasně, umím Git…, August 6, 2014
cs Checklist na zabezpečení webových aplikací, March 1, 2016

Další články z kategorie code.
Nenechte si ujít nové články díky Atom/RSS kanálu.



Poslední příspěvky

cs Zubní pohotovost, October 19, 2021 in family
en Dancers Are Not Deaf (Yet), October 12, 2021 in dance
cs Je dobré mýti Matýska, October 4, 2021 in family
cs Jsem levák…?, September 21, 2021 in family
en Human Evolution of the Past and Future, September 14, 2021 in humanity