Uložená hesla v prohlížeči rozhodně nejsou v bezpečí

cs in tech • 2 min read

Na Lupě vyšel článek Hesla uložená v prohlížeči Chrome lze získat „až překvapivě snadno“. Hned mě napadlo, o čem to bude. Je tomu nedávno, co jsem si všiml, jak snadno si lze hesla v nastavení prohlížeče přečíst. Tím jsem si ještě více potvrdil, že je dobré k mému prohlížeči nepouštět nikoho bez plné důvěry.

Zamýšlel jsem, proč je vůbec něco takového možné. Je mi jasné, že heslo je stejně někde v podobě, která lze rozšifrovat. Musí, jinak by celá funkcionalita byla k ničemu. V horším případě je někde v plain textu (což v případě Chrome neplatí; data jsou šifrována). Přeci ale není důvod to nechat přečíst kde komu na vyžádání bez jakékoliv crackovací utilitky. Nebo by to alespoň mohlo být skryto za nějaké master password…

Pak mi to ale došlo. Je úplně jedno, jestli jsou uložená hesla v prohlížeči nějak šifrována, jestli jdou či nejdou zobrazit nebo jestli jsou chráněny s master password. Vše je irelevantní díky konzoli. Stačí otevřít stránku, nechat si heslo předvyplnit, otevřít vývojářskou konzoli a napsat document.getElementById("somepasswordinput").value a voilà! Existuje i varianta pro nefanoušky JavaScriptu: otevře se konzole, klikne se na tlačítko přihlásit a podívá se, jaká data v POST požadavku odešla.

Pro jistotu znovu: jakkoliv šifrovaná a zaheslovaná uložená hesla v prohlížeči lze zjistit snadno. Stačí mít na chvilku přístup k prohlížeči.

Proto si myslím, že Google dělá dobrou věc. Možnost zadat master password ve Firefoxu akorát vyvolává falešný pocit bezpečí. Opravdu jsem si kdysi dávno myslel, že s master password je vše v pořádku. Až s Chromem jsem zjistil, jak moc jsem se mýlil.

P.S.: Jestli má vůbec smysl řešit hesla, když se mi někdo dostane k počítači, kde jsem všude přihlášen. ;)





You may also like



Popular from tech