Возмутительная уязвимость браузеров!

1.26K
.
Sensus veris
# Koenig (04.12.2016 / 19:07)
важные пароли я ни где не записываю, они в голове, от мыла 17 символов
А я не способна запомнить кучу символов разного регистра, да еще и везде разные пароли
Поэтому блокнотик онли...
Да и вообще, вдруг какой Альцгеймер заявится, а пароли в голове... были
.
╭∩╮ (`-`) ╭∩╮
# Sitego (04.12.2016 / 18:59)
Не, права администратора не нужны, и это пугает. С одной стороны полезная прога, например, для получения ключей от программ. С другой стороны, она полезная, если ты сам пользуешься. А если кто другой
На свой компьютер чужих, особенно с флэшками пускать нельзя.
На крайний случай, делаешь на компе еще один экаунт с ограниченными правами, ну и надо убедиться, что твои файлы (по умолчанию это так) находятся в защищенной от гостей области.
.
Sitego
Enter нажат, к чему теперь рыданья…
# AlkatraZ (04.12.2016 / 20:58)
На свой компьютер чужих, особенно с флэшками пускать нельзя.
Я никого и не пускаю, за комп зубами загрызть могу, если кто полезет
Меня сама возможность смущает, что вот так легко хранятся пароли, никак не хешируются и разработчики этих браузеров что-то поют о своих "безопасных" браузерах.

P.S. В Mozilla Firefox написал на ангельском языке репорт, с ссылками и скриншотами, что их мастер-пароль до одного места. Может хоть чуть-чуть задумаются.
.
╭∩╮ (`-`) ╭∩╮
# Sitego (04.12.2016 / 21:03)
Я никого и не пускаю, за комп зубами загрызть могу, если кто полезет
Меня сама возможность смущает, что вот так легко хранятся пароли, никак не хешируются и разработчики этих браузеров что-то поют
Тут все относительно...
Главное - не допустить быстрого съема паролей. Хотя и тут не все гладко.
Необратимое хэширование они (разработчики браузеров) сделать не могут, ибо для Логин форм, браузер должен восстанавливать твой пароль в чистом виде.
Следовательно, если браузер не шифрует пароли с помощью мастер-пароля (а по-умолчанию ни один браузер этого не делает), то вполне возможно все эти пароли восстановить.
.
# Sitego (04.12.2016 / 18:20)
Немного не согласен. Одно дело сидеть и ковырять чужой комп, и совсем другое запустить программку и забрать все пароли. Делая вид, например, что отправляешь почту, а программа тем временем за минуту в
слил жесткий себе в облако и делай потом что хочешь.
уязвимость в голове у тех кто допустит подобное, а браузер это так, пятый слева.
ты когда софтину эту запускал, ты ей хоть доступ в интернет догадался обрезать?
.
# AlkatraZ (04.12.2016 / 21:12)
Тут все относительно...
Главное - не допустить быстрого съема паролей. Хотя и тут не все гладко.
Необратимое хэширование они (разработчики браузеров) сделать не могут, ибо для Логин форм, браузер д
внезапно, хром и опера умеют показывать пароли, и делают они это после ввода пароля от акка в винде.
упссс.. не в браузерах дело
.
╭∩╮ (`-`) ╭∩╮
# ramzes (04.12.2016 / 21:25)
внезапно, хром и опера умеют показывать пароли, и делают они это после ввода пароля от акка в винде.
упссс.. не в браузерах дело
Ну то есть, если ты подтвердил себя админом локальной системы?
.
Enter нажат, к чему теперь рыданья…
# ramzes (04.12.2016 / 21:24)
ты когда софтину эту запускал, ты ей хоть доступ в интернет догадался обрезать?
Ну это я сразу сделал.

Нашел плагин Firefox Keepass, там базу не возьмёшь нахрапом, лучше в таких базах хранить, чем пользоваться "Сохранить пароль" в браузерах.
.
# AlkatraZ (04.12.2016 / 21:37)
Ну то есть, если ты подтвердил себя админом локальной системы?
да. сам недавно "вспоминал" пароль от джона, и как раз узрел сие, требует пароль от текущего юзера. не знаю, будет ли вообще оно показывать если пароль не установлен
.
Sitego
Enter нажат, к чему теперь рыданья…
В общем догнал как защищать Firefox. Для того чтобы мастер-пароль вступил в силу, нужно обязательно перезапустить браузер, после введения этого пароля. Тогда программа считывает из браузера только адреса сайтов, логины и пароли к этим сайтам скрыты, просто пустые поля.

Правда мастер-пароль придётся вводить при каждом запуске браузера, если потребуется выполнить куда-то вход, то есть на каждую новую сессию.
Всего: 61