Ano. Prohlížeče jsou špatná správa hesel. Jelikož se jedná o názorovou část a je to naznačeno i v nadpisu, řeknu velmi špatně. Fatální. A to je něco, co jsem osobně neocenil až do spuštění Firefoxu 79, nyní na kanálu noční od Mozilly. Verze, která vyjde v srpnu, přichází s novou funkcí: možností exportu všech našich přihlašovacích údajů do souboru CSV. V případě Linuxu k němu v tuto chvíli ani nepožaduje heslo.
I když jsem začal mluvit o Firefoxu, je to něco takového také se děje v chromu, včetně možnosti exportovat naše hesla do souboru CSV, který je již dlouho k dispozici v návrhu Google, což jsou dva nejpoužívanější prohlížeče na světě a je tomu tak i v mnoha dalších, které hesla spravují. V čem je problém z mého pohledu? Vlastně dvě: snadnost dělat věci a absence varování, že pokud nepřidáme hlavní heslo, všechna naše hesla budou snoopována během několika sekund. Má řešení? Ano, a z mého pohledu existuje velmi jednoduchý, který jsme se naučili od společnosti Apple.
Apple nás naučil, jak by prohlížeče měly spravovat hesla
Srovnání jsou nenávistná, zejména na blogu, jako je tento, kde se očekává, že bude diskutován pouze Linux, ale někdy je nutné se věnovat trochu více. S tímto vysvětlením si promluvme trochu o společnosti Apple. Apple nikdy nevynalezl žádné kolo, takhle to je. Jediná věc, kterou společnost Tim Cook vede, je brát nápady, které měli ostatní, někdy je vylepšit a poté je prodat jako nikdo jiný. Něco, co vylepšili, je správa hesel, a teď vysvětlím proč.
Přestože počítače, které jsem nejvíce používal, vždy měly Linux, mám také starý iMac a notebook s Windows. Měl jsem svůj iMac bez hesla po celá léta, dokud Apple nevydal iCloud Keychain a neřekl mi, že pokud chci tuto funkci použít, musím zařízení heslo. Oblékl jsem si to. Nyní, když chci vidět některá ze svých hesel v Safari, musím zadat heslo svého uživatele (operačního systému). Pokud si to neobléknu, nic NIC neuvidím. Já ani nikdo jiný nemá přístup k mým přihlašovacím údajům. To je bezpochyby správná věc. V prohlížeči není hlavní heslo a operační systém měl na starosti informování mě že pokud jsem chtěl mít na sobě svá hesla, musel jsem nastavit heslo pro přihlášení.
Jak Firefox a Chrome špatně zacházejí s hesly
Ačkoli jsem to nikdy neuvažoval, a jak jsem vysvětlil výše, udělal jsem to se spuštěním Firefoxu 79 a jeho nové funkce, Firefox ani Chrome mě o nic nežádají, když chci vidět svá hesla. Prohlížeče předpokládají, nesprávný předpoklad, že uživatel, který přistupoval k prohlížeči, je vlastníkem počítače nebo někým, kdo je v něm registrován. Proto ve Firefoxu můžeme přejít na about: přihlášení, přístup Zamknout a zobrazit všechny naše uživatele, hesla jsou skryta. Ale k čemu je dobré, že jsou skryté, když je můžeme zkopírovat do schránky? Málo. A věc se v Chromu neliší: jdeme na Předvolby / Automatické doplňování a tam jsou. Pokud klepneme na ikonu oka, zobrazí se. Co se může pokazit?
To nás nutí myslet na každý případ, kdy necháme náš počítač příteli nebo příbuznému. Nevím, takže můžete vidět video koťat na YouTube, zatímco se sprchujeme, například na večeři, kterou jsme pro ten den uspořádali. Nevěděli jsme, že tento přítel není dobrý přítel, nebo z jakéhokoli důvodu chce získat naše heslo k Facebooku. Jediné, co musíte udělat, je přejít do sekce hesla, zobrazit naše uživatelské jméno, zkopírujte heslo a vložte jej do textového dokumentu. Tento přítel již má přístup na náš Facebook. Tak snadné.
To nebude případ Firefoxu 79 pro Windows, který nás požádá o heslo (uživatele relace) exportovat hesla do souboru CSV nebo je zkopírovat z Lockwise, ale v aktuálním Firefoxu 77 nám to umožňuje zkopírovat je bez jakéhokoli zadávání. Firefox 79 pro Linux nadále umožňuje komukoli procházet náš soubor hesel, jako je Pedro, doma, i když uživatel není úplně slavný Pedro.
Možná řešení, která by nyní měla implementovat
V dotazu, který jsem na Twitteru poslal přes Twitter ohledně verze pro Linux, mi bylo řečeno, že musím nastavte hlavní heslo, abyste se tomuto problému vyhnuli. Co tohle? To už vím, ale ostatní ne. Řešením není hádat, co se může stát; řešení nám musí společnosti nabídnout. Kdykoli je to možné, nedovolil bych přístup do Lockwise bez zadání uživatelského hesla (systému) a zapomněl jsem na hlavní heslo. Pokud výše uvedené není možné a v systému Windows ano, prohlížeče by nás o tom měly informovat, stejně jako Apple, a to pomocí zprávy typu „buď zadáte hlavní heslo, nebo klíčenky nebudete moci používat.“ To, co si myslím, že není možné, je to, co dnes existuje: pokud to nezohledníme a udělá to jiný, jsme odhaleni.
Takže teď víš. Věci by se mohly zlepšit a přinejmenším verze Firefoxu pro Windows ano, ale v dnešní době všechny prohlížeče, alespoň na Linuxu, špatně spravují hesla. Protože nevarují, co se může stát, pokud nenastavíme hlavní heslo, dělám to v tomto článku, nemusíme zapomínat, že jde o názor.
Je pravda, že používám Firefox a nevěděl jsem, že mohu ke svým přihlašovacím údajům přidat hlavní heslo. Kdyby nebylo tohoto článku, nezjistil bych to. Vývojáři nehlásí v době, kdy začneme používat Lockwise. Je to nepříjemné.
Už jsem začal používat Bitwarden, protože jsem si myslel, že moje hesla jsou nejistá, důvěřujete Bitwardenu nebo si myslíte, že bych měl najít jiného manažera?
Pokud jsem tomu spisovateli správně rozuměl, mohou za to prohlížeče, že uživatelé neznají jejich výhody (v tomto případě existence hlavního hesla - charakteristika, která je ve Firefoxu od doby spodního paleolitu -).
Podle toho, co říká publicista, řešením tohoto „neúspěchu“ prohlížečů by bylo, že heslo pro přístup k uloženým účtům nebylo pro uživatele něčím volitelným, ale něco povinného a předem určeného prohlížečem. Ponechám stranou, že dávám přednost svobodné volbě každého uživatele přizpůsobit si prohlížeč podle svých představ na základě svých preferencí a okolností. Hlavní heslo prohlížeče Firefox má malou chybu: Pokud se zaregistrujete podle toho, které webové stránky vás přeskočí, pokaždé, když je navštívíte, zobrazí se varování pro vložení hlavního hesla (i když se v tuto chvíli nechcete přihlásit) )
1. Netušil jsem, že všechna moje hesla jsou tak snadno přístupná.
2. Definování hlavního hesla bylo extrémně jednoduché a efektivní.
Při pohledu na 1 a 2 by stačilo jednoduché varování o zrušení ochrany uložených hesel, aby se zabránilo většině problémů.
Když je potenciální škoda tak velká a řešení tak jednoduché, stane se z varování před rizikem nedbalost.
Chápu, že protože spisovatel koupil tento iMac, dokud nechtěl používat iCloud Keychain, nebyl problém, že ho nikdo nepožádal o přihlašovací údaje pro použití nebo přístup k uloženým heslům.
Měl možnost vložit heslo ke svému uživateli do stroje vždy.
Předpokládám, že vás Apple informoval, že pokud tak neučiníte, vaše hesla budou nechráněna.
To musí být důvod, proč neexistuje analogie s hlavním heslem prohlížeče Firefox, které, jak již zde bylo řečeno, existuje téměř od počátku věků.
V případě Opery mě prohlížeč pokaždé, když chci zobrazit svá hesla, požádá o zadání uživatelského hesla operačního systému. Neviděl jsem, co se stane, když moje uživatelské jméno nemá heslo.
Můj skromný názor na obranu velkých prohlížečů je, že ve výchozím nastavení neukládá pověření, je to uživatel, který autorizuje jejich uložení. Když zadáte web X, budete dotázáni, zda chcete hesla uložit. Proč připisovat odpovědnost uživatelů webovým vývojářům? Pokud jste si ho uložili z vlastní vůle a buď jej půjčíte, nebo oni vlastní PC, drahoušku, šukejte za zlobu. Už jste byli varováni.
Pro ty, kteří začínají ve Firefoxu (včetně těch, kteří léta používají prohlížeč Mozilla, většinou nevědí o jeho funkcích), pokud chtějí vylepšit funkce prohlížeče, ale nemají znalosti ani čas na osobní přispění, existuje funkce s názvem «Odeslat názor», mají k nim přístup prostřednictvím:
Tlačítko Nabídka> Nápověda> Odeslat zpětnou vazbu
Otevře se karta, na které budete dotázáni, zda jste s Firefoxem spokojeni nebo ne, pokud odpovíte, nebude vás žádat, abyste krátce napsali proč, to pomáhá Mozilla při zpětné vazbě zaměřit se na zlepšení služeb prohlížeče Firefox, to je jak to bylo tlačeno na otázku soukromí, začlenění prvků, které jste dříve mohli mít pouze prostřednictvím pluginů, slušné začlenění funkcí HTML5 ... Pokud se redaktoři této a dalších komunit různých jazyků na světě zorganizovali aby tento problém hromadně odstranil, mohla by jej Mozilla brát vážně v úvahu při příští instalaci prohlížeče Firefox.
Dříve jsem tuto službu hodně používal, abych viděl vylepšení zabudovaná do prohlížeče, aniž byste museli používat plugin nebo slušně spouštět HTML5, ale nejdůležitější je, že vám při odesílání odpovědi dříve nabídli odkaz, abyste mohli v návaznosti na vaše návrhy, děláte problém?, že byste mohli proniknout do návrhů ostatních po celém světě a spolupracovat, abyste viděli přidané tyto funkce nebo opravili jakoukoli chybu, která se již nestane, ani nevidím, kde nyní postupovat, nicméně , v podpoře Mozilly nadále doporučujeme používat Stanovisko Firefoxu k poskytování zpětné vazby o chybách, selháních, selháních, mezerách a vylepšení zpráv v prohlížeči.
Nesouhlasím s vaším návrhem „buď zadáte hlavní heslo, nebo nebudete moci používat klíčenky“, je to, že požadujete, aby společnost přinutila uživatele ano nebo ano použít hlavní heslo pro přístup k použití of lockwise, To znamená, že to dokonce znamená změnu způsobu fungování Firefox Sync, protože pokud jste nenastavili hlavní heslo, Firefox Sync nemůže stahovat nebo aktualizovat hesla, správa hesel nebo jejich složitost není přímou odpovědností společnosti, ale koncového uživatele, který produkt požaduje a spotřebovává, je možné, aby Mozilla po prvním spuštění Firefoxu a následně při používání Firefox Sync zdůraznila důležitost využití hlavního hesla pro zabezpečení dalších hesel za podmínek, které společnost za jakoukoli nedbalost uživatele již nemůže převzít. Rozumí se?
Ahoj, děkuji za příspěvek.
Říkám vám víc, přinejmenším v linuxu, řekněte, že vám umožňují používat stroj, protože se musíte připojit k internetu a otevřít chrom, přihlásíte se ke svému účtu Google a neúmyslně provedete synchronizaci účtu ... hesla se stáhnou do tohoto stroje.
Dokud nebude vše víceméně v pořádku. Jdete, odhlásíte se, odeberete také synchronizační účet, otevřete a zavřete Chrome a Zaz, všechna vaše hesla a záložky atd. Jsou stále v dané relaci stroje.
Dobře, přejdete na Chrome, pokročilý, resetujete Chrome na továrnu a Zas, sledují tam všechny vaše informace.
Odinstalujte a znovu nainstalujte Chrome ... Ufff všechna vaše hesla a další informace stále existují.
Jediným způsobem, jak jsem musel dostat své informace z této linuxové relace, bylo ručně vstoupit na domovskou stránku této linuxové relace a odstranit každý ze souborů chrome.
Hrozný!!!
Velmi dobrý článek, ale ve Firefoxu je problém ještě vážnější. Pokud máte hlavní heslo a váš přítel chce sledovat videa koťat, bez hlavního hesla to nebude možné, protože vás znovu a znovu žádá o navigaci jako obvykle. Zřejmým řešením by bylo, že nezadáním hlavního hesla se spustí relace typu „host“, kde například nebudete mít přístup k nastavením nebo přihlašovacím údajům. Jinými slovy, hlavní heslo je i nadále užitečné pouze pro vlastníka počítače, na kterém je spuštěn Firefox. Tato otázka je opravdu vážná, a to nejen na osobním počítači, je obzvláště závažná i na institucionálních počítačích. Pozdravy…