Ja. Nettlesere er det feiladministrering av passord. Siden dette er en meningsinnsats og slik det er angitt selv i overskriften, vil jeg si veldig dårlig. Fatal. Og dette er noe jeg personlig ikke hadde verdsatt før lanseringen av Firefox 79, nå på kanalen Nightly fra Mozilla. Versjonen som vil bli utgitt i august vil komme med en ny funksjon: muligheten for å eksportere all legitimasjonen vår til en CSV-fil. Når det gjelder Linux, ber den på dette tidspunktet ikke engang om et passord for det.
Selv om jeg har begynt å snakke om Firefox, er dette noe som skjer også i krom, inkludert muligheten for å eksportere passordene våre til CSV-filen som har vært tilgjengelig i lang tid i Googles forslag, som er to av de mest brukte nettleserne i verden, og som også er tilfelle i mange andre som administrerer passord. Hva er problemet fra mitt synspunkt? Egentlig to: den enkle å gjøre ting og fraværet av en advarsel om at hvis vi ikke legger til et hovedpassord, vil alle passordene våre bli snoket i løpet av sekunder. Den har en løsning? Ja, og fra mitt synspunkt er det en veldig enkel en som vi har lært av Apple.
Apple lærte oss hvordan nettlesere skal administrere passord
Sammenligninger er hatefulle, spesielt på en blogg som denne der det forventes at bare Linux vil bli diskutert, men noen ganger er det nødvendig å dekke litt mer. Med det forklart, la oss snakke litt om eplefirmaet. Apple har aldri oppfunnet noe hjul, sånn er det. Det eneste selskapet Tim Cook driver er å ta ideer som andre har hatt, noen ganger forbedre dem og deretter selge dem som ingen andre. Noe som de har forbedret er håndtering av passord, og nå forklarer jeg hvorfor.
Selv om datamaskinene jeg har brukt mest alltid har hatt Linux, har jeg også en gammel iMac og en bærbar datamaskin med Windows. Jeg hadde iMac uten passord i årevis, til Apple ga ut iCloud-nøkkelring og fortalte meg at hvis jeg ønsket å bruke den funksjonen, måtte jeg passord enheten. Jeg tok den på. Nå, hvis jeg vil se noen av passordene mine i Safari, må jeg legge inn passordet til brukeren min (til operativsystemet). Hvis jeg ikke tar den på, vil jeg ikke se noe. Verken jeg eller noen andre har tilgang til legitimasjonen min. Dette er riktig, uten tvil. Det er ikke noe hovedpassord i nettleseren og operativsystemet hadde ansvaret for å gi meg beskjed at hvis jeg ønsket å ha passordene mine, måtte jeg angi et passord for påloggingen.
Hvordan Firefox og Chrome mishandler passord
Selv om jeg aldri hadde vurdert det, og som jeg forklarte ovenfor, gjorde jeg det med lanseringen av Firefox 79 og den nye funksjonen, verken Firefox eller Chrome ber meg om noe når jeg vil se passordene mine. Nettleserne antar, feil antagelse, at brukeren som har fått tilgang til nettleseren er eieren av datamaskinen eller noen som er registrert på den. Derfor kan vi gå til Firefox om: pålogginger, tilgang Låsvis og se alle brukerne våre, passordene blir skjult. Men hva hjelper det at de er skjult hvis vi kan kopiere dem til utklippstavlen? Av lite. Og tingen er ikke annerledes i Chrome: vi går til Innstillinger / Autofullføring og der er de. Hvis vi trykker på øyeikonet, vil de vises. Hva kan gå galt?
Dette får oss til å tenke på alle tilfeller der vi overlater datamaskinen til en venn eller slektning. Jeg vet ikke, så du kan se en video av kattunger på YouTube mens vi for eksempel dusjer til middagen vi har arrangert den dagen. Vi visste ikke at denne vennen ikke er en god venn eller av en eller annen grunn ønsker å få Facebook-passordet vårt. Alt du trenger å gjøre er å gå til passorddelen, se brukernavnet vårt, kopier passordet og lim det inn i et tekstdokument. Den vennen har allerede tilgang til Facebook. Så lett.
Dette vil ikke være tilfelle i Firefox 79 for Windows, som vil be oss om passordet (av øktbrukeren) for å eksportere passordene til CSV-filen eller kopiere dem fra Lockwise, men i den nåværende Firefox 77 lar den oss kopiere dem uten å skrive inn noe. Firefox 79 for Linux fortsetter å tillate hvem som helst å gå gjennom passordfilen vår som Pedro hjemme, selv om brukeren ikke akkurat er den berømte Pedro.
Mulige løsninger som de bør implementere nå
I et spørsmål jeg sendte til Firefox via Twitter om Linux-versjonen, ble jeg fortalt at jeg må angi et hovedpassord for å unngå dette problemet. Hva med dette? Det vet jeg allerede, men andre ikke. Løsningen er ikke å gjette hva som kan skje; løsningen må selskapene tilby oss. Når det er mulig, tillot jeg ikke tilgang til Lockwise uten å angi brukerpassordet (til systemet), og jeg glemte hovedpassordet. Hvis det ovennevnte ikke er mulig, og i Windows er det, bør nettlesere varsle oss om dette slik Apple gjør med en melding som "enten du setter et hovedpassord, ellers vil du ikke kunne bruke nøkkelringene." Det jeg tror ikke er et alternativ er det som eksisterer i dag: hvis vi ikke tar det i betraktning og en annen gjør det, blir vi utsatt.
Så nå vet du. Ting kan forbedres, og i det minste vil Firefox-versjonen av Windows gjøre det, men i disse dager forventer alle nettlesere, i det minste på Linux, feil passord. Siden de ikke advarer om hva som kan skje hvis vi ikke konfigurerer et hovedpassord, gjør jeg det i denne artikkelen, vi trenger ikke å glemme at det er mening.
Veldig sant, jeg bruker Firefox og visste ikke at jeg kunne legge til et hovedpassord til legitimasjonen min. Hvis ikke denne artikkelen hadde jeg ikke funnet ut av det. Utviklerne rapporterer ikke på det tidspunktet vi begynner å bruke Lockwise. Det er en plage.
Jeg begynte allerede å bruke Bitwarden fordi jeg trodde passordene mine var usikre, stoler du på Bitwarden eller tror jeg at jeg skulle finne en annen manager?
Vel, hvis jeg forsto forfatteren riktig, har nettleserne skylden for at brukerne ikke vet fordelene deres (i dette tilfellet eksistensen av hovedpassordet - en egenskap som har vært i Firefox siden nedre paleolittisk-).
Fra det spalteforfatteren sier, ville løsningen på denne "feilen" i nettleserne være at passordet for å få tilgang til de lagrede kontoene ikke var noe valgfritt for brukeren, men noe obligatorisk og forhåndsbestemt av nettleseren. Når jeg ser bort fra at jeg foretrekker valgfriheten til hver bruker å justere nettleseren etter deres smak, basert på deres preferanser og omstendigheter. Firefox-hovedpassordet har en liten feil: Hvis du registrerer deg i henhold til hvilke nettsteder, vil det hoppe deg hver gang du besøker dem, en advarsel for deg om å sette inn hovedpassordet (selv om du ikke vil logge inn på det tidspunktet )
1. Jeg ante ikke at alle passordene mine var så enkle å få tilgang til.
2. Å definere hovedpassordet har vært ekstremt enkelt og effektivt.
Ser vi på 1 og 2, vil en enkel advarsel om å beskytte lagrede passord være nok til å unngå de fleste problemer.
Når den potensielle skaden er så stor, og løsningen så enkel, blir unnlatelse av å advare om risikoen uaktsomhet.
Jeg forstår at siden forfatteren kjøpte iMac, til han ønsket å bruke iCloud nøkkelring, var det ikke et problem at ingen ba ham om legitimasjon for å bruke eller få tilgang til de lagrede passordene.
Han hadde muligheten til å legge passord til brukeren sin i maskinen siden alltid.
Jeg antar at Apple informerte deg om at hvis du ikke gjorde det, ville passordene dine være ubeskyttet.
Det må være grunnen til at det ikke er noen analogi med Firefox-hovedpassordet som, som de allerede har sagt her, har eksistert nesten siden begynnelsen av tiden.
Vel, i tilfelle Opera, hver gang jeg vil se passordene mine, ber nettleseren meg om å oppgi brukerpassordet til operativsystemet. Jeg har ikke sett hva som skjer hvis brukernavnet mitt ikke har passord.
Min ydmyke mening til forsvar for store nettlesere er at den ikke lagrer legitimasjonen som standard, det er brukeren som autoriserer å lagre dem. Når du går inn på et nettsted X, blir du spurt om du vil lagre passordene. Hvorfor tillegge brukeransvar webutviklere? Hvis du lagret den av egen fri vilje og enten låner den eller de eier PC-en, kjære, faen deg for slem. Du ble advart før.
For de som er nye i Firefox (inkludert de som i årevis har brukt Mozilla-nettleseren, som stort sett ikke er klar over funksjonene), hvis de vil forbedre funksjonene i nettleseren, men ikke har kunnskap eller tid til å gi bidraget personlig, der er en funksjon som heter «Send inn mening», De kan få tilgang til den gjennom:
Menyknapp> Hjelp> Send tilbakemelding
Det åpnes en fane der du blir spurt om du er fornøyd med Firefox eller ikke. Hvis du svarer, vil den ikke be deg om å skrive kort hvorfor, dette hjelper som tilbakemelding for Mozilla å fokusere på å forbedre tjenesten til Firefox-nettleseren, dette er hvordan det har blitt presset med spørsmålet om personvern, innlemmelsen av elementer som før du bare kunne ha gjennom plugins, en anstendig innlemmelse av HTML5-funksjoner ... Hvis redaktørene av dette og andre samfunn på forskjellige språk i verden var organisert for å rette opp dette problemet i stor grad, kunne Mozilla ta det på alvor for neste del av Firefox-nettleseren.
Tidligere brukte jeg denne tjenesten mye for å se forbedringer innlemmet i nettleseren uten å måtte bruke et plugin eller å kjøre HTML5 anstendig, men det viktigste er at de tidligere når de sendte svaret, ga deg lenken slik at du kunne følge opp forslagene dine, er problemet? at du kan lure inn forslag fra andre over hele verden og samarbeide for å se lagt til disse funksjonene eller for å få korrigert feil, som ikke lenger skjer, og jeg ser heller ikke hvor jeg skal følge opp nå, Imidlertid fortsetter i Mozilla-støtte å anbefale å bruke Firefox Opinion for å gi tilbakemelding på feil, krasjer, krasjer, hull og rapporterer forbedringer for nettleseren.
Det jeg ikke er enig i ditt forslag om "enten du setter et hovedpassord eller så vil du ikke kunne bruke nøkkelringene", er at du krever at selskapet tvinger brukeren ja eller ja til å bruke hovedpassordet for å få tilgang til bruken av lockwise, Det vil si at dette til og med innebærer å endre måten Firefox Sync fungerer på, for hvis du ikke har angitt et hovedpassord, kan Firefox Sync ikke laste ned eller oppdatere passord, administrasjon av passord eller deres kompleksitet er ikke et selskaps direkte ansvar, men av sluttbrukeren som er den som krever og forbruker produktet, er det som kan gjøres for Mozilla å understreke viktigheten etter den første kjøringen av Firefox og deretter i bruken av Firefox Sync, å bruke hovedpassordet for tilleggspassord for sikkerhet under forhold som selskapet for uforsiktighet hos brukeren ikke lenger kan overta selskapet. Det er forstått?.
Hei, takk for innlegget.
Jeg forteller deg mer, i det minste i Linux, si at de tillater deg å bruke en maskin fordi du trenger å koble til internett og åpne krom, du logger deg på Google-kontoen din og utilsiktet setter kontosynkronisering ... Uff feil alle passord lastes ned til den maskinen.
Inntil det alt mer eller mindre ok. Du går, du logger ut, du fjerner også synkroniseringskontoen, du åpner og lukker Chrome og Zaz, alle passordene og bokmerkene osv. Er fortsatt i den økten på maskinen.
Ok, du går til krom, avansert, tilbakestiller krom til fabrikk og Zas, de følger all informasjonen din der.
Vel, avinstaller og installer Chrome igjen ... Ufff alle passordene dine og annen informasjon er fortsatt der.
Den eneste måten jeg måtte få informasjonen min fra den Linux-økten, var å manuelt gå inn i hjemmet til den Linux-økten og slette hver av kromfilene.
Fryktelig!!!
Veldig bra artikkel, men i Firefox er problemet enda mer alvorlig. Hvis du har et hovedpassord og vennen din vil se på videoer av kattunger, vil han ikke kunne uten hovedpassordet, siden han ber om det igjen og igjen for å navigere slik det gjøres regelmessig. En åpenbar løsning ville være at ved å ikke sette hovedpassordet, starter en "gjest" -økt, for eksempel hvor du ikke får tilgang til innstillingene eller påloggingen. Med andre ord fortsetter hovedpassordet å være nyttig bare for eieren av datamaskinen der Firefox kjører. Dette emnet er veldig alvorlig, ikke bare på en personlig datamaskin, det er også spesielt seriøst på institusjonelle datamaskiner. Hilsener…