Sì. I browser lo sono password gestite in modo errato. Poiché questo è un pezzo di opinione e quindi è indicato anche nel titolo, dirò molto male. Fatale. E questo è qualcosa che personalmente non avevo apprezzato fino al lancio di Firefox 79, ora sul canale ogni notte da Mozilla. La versione che uscirà ad agosto includerà una nuova funzione: la possibilità di esportare tutte le nostre credenziali in un file CSV. Nel caso di Linux, in questo momento non viene nemmeno richiesta la password.
Anche se ho iniziato a parlare di Firefox, questo è qualcosa che succede anche in cromo, compresa la possibilità di esportare le nostre password nel file CSV che è da tempo disponibile nella proposta di Google, che sono due dei browser più utilizzati al mondo ed è anche il caso di molti altri che gestiscono le password. Qual è il problema dal mio punto di vista? In realtà, due: la facilità di fare le cose e l'assenza di un avviso che, se non aggiungiamo una password principale, tutte le nostre password verranno rilevate in pochi secondi. Ha una soluzione? Sì, e dal mio punto di vista ce n'è uno molto semplice che abbiamo imparato da Apple.
Apple ci ha insegnato come i browser dovrebbero gestire le password
I confronti sono odiosi, soprattutto su un blog come questo dove ci si aspetta che si discuta solo di Linux, ma a volte è necessario coprire un po 'di più. Detto questo, parliamo un po 'dell'azienda della mela. Apple non ha mai inventato nessuna ruota, Ecco com'è. L'unica cosa che fa l'azienda che gestisce Tim Cook è prendere idee che altri hanno avuto, a volte migliorarle e poi venderle come nessun altro. Qualcosa che hanno migliorato è la gestione delle password, e ora spiego perché.
Sebbene i computer che ho usato di più abbiano sempre avuto Linux, ho anche un vecchio iMac e un laptop Windows. Ho avuto il mio iMac senza password per anni, fino a quando Apple ha rilasciato il portachiavi iCloud e mi ha detto che se volevo usare quella funzione, dovevo inserire una password per il dispositivo. L'ho indossato. Ora, se voglio vedere alcune delle mie password in Safari, devo inserire la password del mio utente (del sistema operativo). Se non lo indosso, non vedrò NIENTE. Né io né nessun altro possiamo accedere alle mie credenziali. Questa è la cosa corretta, senza dubbio. Non esiste una password principale nel browser e il sistema operativo era incaricato di farmi sapere che se volevo avere le mie password su di esso, dovevo impostare una password per il login.
In che modo Firefox e Chrome gestiscono male le password
Nonostante non l'avessi mai considerato, e come ho spiegato sopra l'ho fatto con il lancio di Firefox 79 e della sua nuova funzione, né Firefox né Chrome mi chiedono nulla quando voglio vedere le mie password. I browser presumono, erroneamente, che l'utente che ha effettuato l'accesso al browser sia il proprietario del computer o qualcuno registrato su di esso. Pertanto, in Firefox possiamo andare a A proposito di: accessi, accedere Lockwise e vedere tutti i nostri utenti, le password nascoste. Ma a che serve che siano nascosti se possiamo copiarli negli appunti? Di poco. E la cosa non è diversa in Chrome: andiamo su Preferenze / Completamento automatico ed eccoli lì. Se tocchiamo l'icona dell'occhio, verranno visualizzati. Cosa può andare storto?
Questo ci fa pensare ad ogni caso in cui lasciamo il nostro computer ad un amico o un parente. Non lo so, quindi puoi vedere un video di gattini su YouTube mentre facciamo la doccia, ad esempio, per la cena che abbiamo organizzato per quel giorno. Non sapevamo che questo amico non è un buon amico o per qualsiasi motivo desidera ottenere la nostra password di Facebook. Tutto quello che devi fare è andare nella sezione password, vedere il nostro nome utente, copia la password e incollala in un documento di testo. Quell'amico ha già accesso al nostro Facebook. Così facile.
Questo non sarà il caso di Firefox 79 per Windows, che ci chiederà la password (dell'utente della sessione) per esportare le password nel file CSV o copiarle da Lockwise, ma nell'attuale Firefox 77 ci permette di copiarle senza inserire nulla. Firefox 79 per Linux continua a consentire a chiunque di attraversare il nostro file di password come Pedro a casa, anche se l'utente non è esattamente il famoso Pedro.
Possibili soluzioni che dovrebbero implementare ora
In una query che ho fatto a Firefox tramite Twitter sulla versione Linux, mi è stato detto che devo farlo impostare una password principale per evitare questo problema. Che dire di questo? Questo lo so già, ma altri no. La soluzione non è indovinare cosa potrebbe accadere; la soluzione ci deve essere offerta dalle aziende. Quando possibile, non consentirei l'accesso a Lockwise senza inserire la password utente (del sistema) e dimenticherei la password principale. Se quanto sopra non è possibile, e in Windows lo è, i browser dovrebbero notificarcelo come fa Apple con un messaggio del tipo "o metti una password principale o non sarai in grado di utilizzare i portachiavi". Quello che penso non sia un'opzione è ciò che esiste oggi: se non ne teniamo conto e un altro lo fa, siamo esposti.
Quindi ora lo sai. Le cose potrebbero migliorare, e almeno la versione Firefox di Windows lo farà, ma oggigiorno tutti i browser, almeno su Linux, gestiscono male le password. Dal momento che non avvisano di cosa può accadere se non configuriamo una password principale, lo faccio in questo articolo, non dobbiamo dimenticare che è opinione.
Verissimo, utilizzo Firefox e non sapevo di poter aggiungere una master password alle mie credenziali. Se non fosse stato per questo articolo non l'avrei scoperto. Gli sviluppatori non segnalano nel momento in cui iniziamo a utilizzare Lockwise. È una seccatura.
Stavo già iniziando a usare Bitwarden perché pensavo che le mie password non fossero sicure, ti fidi di Bitwarden o pensi che dovrei trovare un altro manager?
Ebbene, se ho capito bene chi scrive, i browser sono da biasimare per il fatto che gli utenti non ne conoscono i vantaggi (in questo caso, l'esistenza della master password -una caratteristica presente in Firefox sin dal Paleolitico inferiore-).
Da quanto afferma l'editorialista, la soluzione a questo "fallimento" dei browser sarebbe che la password per accedere agli account salvati non fosse qualcosa di facoltativo per l'utente, ma qualcosa di obbligatorio e predeterminato dal browser. Tralasciando che preferisco la libertà di scelta di ogni utente di adattare il browser a proprio piacimento in base alle proprie preferenze e circostanze. La master password di Firefox ha un piccolo bug: se ti registri in base a quali siti web, ti salterà, ogni volta che li visiti, un avviso per farti inserire la master password (anche se non vuoi effettuare il login in quel momento )
1. Non avevo idea che tutte le mie password fossero così facili da accedere.
2. La definizione della password principale è stata estremamente semplice ed efficiente.
Guardando 1 e 2, un semplice avvertimento sulla rimozione della protezione delle password salvate sarebbe sufficiente per evitare la maggior parte dei problemi.
Quando il potenziale danno è così grande e la soluzione così semplice, il mancato avviso del rischio diventa negligenza.
Capisco che da quando lo scrittore ha acquistato quell'iMac, fino a quando non ha voluto utilizzare il portachiavi iCloud, non è stato un problema che nessuno gli chiedesse le credenziali per utilizzare o accedere alle password salvate.
Da sempre ha avuto la possibilità di inserire la password del suo utente nella macchina.
Presumo che Apple ti abbia informato che se non lo facessi, le tue password non sarebbero state protette.
Ecco perché non c'è alcuna analogia con la master password di Firefox che, come hanno già detto in giro, esiste quasi dall'inizio dei tempi.
Ebbene, nel caso di Opera, ogni volta che voglio vedere le mie password, il browser mi chiede di inserire la password utente del sistema operativo. Non ho visto cosa succede se il mio nome utente non ha una password.
La mia modesta opinione a difesa dei grandi browser è che non memorizza le credenziali di default, è l'utente che autorizza a salvarle. Quando si entra in un sito X, viene chiesto se si desidera salvare le password. Perché attribuire la responsabilità dell'utente agli sviluppatori web? Se l'hai salvato di tua spontanea volontà e lo presti o loro possiedono il PC, cara, fottiti per cattivo. Sei stato avvertito prima.
Per chi è nuovo di Firefox (compreso chi da anni utilizza il browser Mozilla, largamente ignaro delle sue funzioni), se vuole migliorare le funzionalità del browser ma non ha la conoscenza o il tempo per dare personalmente il contributo, c'è un funzione chiamata «Invia opinione», possono accedervi tramite:
Pulsante Menu> Guida> Invia feedback
Si aprirà una scheda in cui ti viene chiesto se sei soddisfatto o meno di Firefox, se rispondi non ti chiederà di scrivere brevemente il motivo, questo aiuta come feedback per Mozilla a concentrarsi sul miglioramento del servizio del browser Firefox, questo è come è stato premuto con la questione della privacy, l'incorporazione di elementi che prima si potevano avere solo attraverso i plugin, una decente incorporazione delle funzionalità HTML5 ... Se gli editori di questa e di altre comunità di varie lingue nel mondo fossero organizzato per correggere questo problema in massa, Mozilla potrebbe prenderlo in seria considerazione per la prossima rata del browser Firefox.
In precedenza, usavo molto questo servizio per vedere miglioramenti incorporati nel browser senza dover utilizzare un plug-in o eseguire HTML5 in modo decente, ma la cosa più importante è che in precedenza, quando si inviava la risposta, ti offrissero il Link in modo che tu potessi dare seguito ai tuoi suggerimenti, fa il problema?, che potresti curiosare nei suggerimenti di altri in tutto il mondo e collaborare per vedere aggiunte queste funzionalità o per correggere eventuali errori, che non si verificano più, né vedo dove seguire ora, tuttavia , nel supporto Mozilla continuano a consigliare l'utilizzo di Firefox Opinion per fornire feedback su bug, arresti anomali, arresti anomali, lacune e segnalare miglioramenti per il browser.
Quello che non sono d'accordo con il tuo suggerimento di "o metti una password principale o non sarai in grado di utilizzare i portachiavi", è che richiedi che l'azienda costringa l'utente sì o sì ad applicare la password principale per accedere all'uso di lockwise, Cioè, questo implica anche la modifica del modo in cui funziona Firefox Sync, perché se non hai impostato una password principale, Firefox Sync non può scaricare o aggiornare le password, la gestione delle password o la loro complessità non è responsabilità diretta di un'azienda, ma dell'utente finale che è colui che richiede e consuma il prodotto, ciò che si può fare è che Mozilla sottolinei l'importanza, dopo la prima esecuzione di Firefox e successivamente nell'uso di Firefox Sync, di utilizzare la password principale per password di sicurezza aggiuntive in condizioni alle quali l'azienda per ogni disattenzione dell'utente non può più subentrare all'azienda. E 'inteso?.
Ciao, grazie per il post.
Ti dico di più, almeno in Linux, metti che ti permettono di usare una macchina perché devi connetterti a Internet e aprire il chrome, accedi al tuo account Google e metti inavvertitamente la sincronizzazione dell'account ... Errore Uff tutte le password vengono scaricati su quella macchina.
Finché lì tutto più o meno ok. Vai, esci, rimuovi anche l'account di sincronizzazione, apri-chiudi Chrome e Zaz, tutte le tue password e segnalibri ecc. Sono ancora in quella sessione della macchina.
Ok, vai su Chrome, avanzato, ripristina Chrome di fabbrica e Zas, seguono tutte le tue informazioni lì.
Bene, disinstalla e installa di nuovo Chrome ... Ufff tutte le tue password e altre informazioni sono ancora lì.
L'unico modo in cui ho dovuto ottenere le mie informazioni da quella sessione Linux era entrare manualmente nella Home di quella sessione Linux ed eliminare ciascuno dei file chrome.
Terribile!!!
Articolo molto buono, ma in Firefox il problema è ancora più grave. Se hai una password principale e il tuo amico vuole guardare video di gattini, non potrà farlo senza la password principale, poiché la chiede più e più volte per navigare come viene fatto regolarmente. Una soluzione ovvia sarebbe che non inserendo la master password, si avvia, ad esempio, una sessione "guest" in cui non è possibile accedere alle impostazioni o ai login. In altre parole, la password principale continua ad essere utile solo per il proprietario del computer su cui è in esecuzione Firefox. Questo argomento è molto serio, non solo su un personal computer, è particolarmente serio anche sui computer istituzionali. Saluti…