Tak, przeglądarki są niewłaściwe zarządzanie hasłami. Ponieważ jest to artykuł opiniotwórczy i tak jest zaznaczony nawet w nagłówku, powiem bardzo źle. Fatalny. I jest to coś, czego osobiście nie doceniałem, aż do premiery Firefoksa 79, który jest teraz na kanale nocny z Mozilli. Wersja, która ukaże się w sierpniu, będzie zawierała nową funkcję: możliwość eksportu wszystkich naszych danych uwierzytelniających do pliku CSV. W przypadku Linuksa w tej chwili nawet nie pyta o hasło.
Chociaż zacząłem mówić o Firefoksie, to jest coś takiego dzieje się również w przypadku chromu, w tym możliwość wyeksportowania naszych haseł do pliku CSV, który od dawna jest dostępny w propozycji Google, które są dwiema najczęściej używanymi przeglądarkami na świecie i ma też miejsce w wielu innych, które zarządzają hasłami. Jaki jest problem z mojego punktu widzenia? Właściwie po drugie: łatwość robienia rzeczy i brak ostrzeżenia, że jeśli nie dodamy hasła głównego, wszystkie nasze hasła zostaną przeszukane w ciągu kilku sekund. Ma rozwiązanie? Tak, z mojego punktu widzenia jest bardzo prosty, którego nauczyliśmy się od Apple.
Apple nauczył nas, jak przeglądarki powinny zarządzać hasłami
Porównania są nienawistne, zwłaszcza na blogu takim jak ten, na którym oczekuje się, że będzie omawiany tylko Linux, ale czasami konieczne jest omówienie czegoś więcej. Po wyjaśnieniu porozmawiajmy trochę o firmie Apple. Apple nigdy nie wynalazł żadnego koła, tak to jest. Jedyne, co robi firma, którą prowadzi Tim Cook, to bierze pomysły innych, czasem je ulepsza, a następnie sprzedaje jak nikt inny. Coś, co ulepszyli, to zarządzanie hasłami, a teraz wyjaśniam dlaczego.
Chociaż komputery, z których korzystałem najczęściej, zawsze miały Linuksa, mam też starego iMaca i laptopa z systemem Windows. Miałem swojego iMaca bez hasła przez lata, dopóki Apple nie wypuściło pęku kluczy iCloud i powiedział mi, że jeśli chcę skorzystać z tej funkcji, muszę wprowadzić hasło do urządzenia. Założyłem to. Teraz, jeśli chcę zobaczyć niektóre z moich haseł w Safari, muszę podać hasło mojego użytkownika (systemu operacyjnego). Jeśli tego nie założę, NICZEGO nie zobaczę. Ani ja, ani nikt inny nie ma dostępu do moich danych uwierzytelniających. Bez wątpienia jest to właściwa decyzja. W przeglądarce nie ma hasła głównego i za powiadomienie mnie odpowiadał system operacyjny że jeśli chciałem mieć na nim swoje hasła, musiałem ustawić hasło do logowania.
Jak przeglądarki Firefox i Chrome źle posługują się hasłami
Chociaż nigdy o tym nie myślałem i jak wyjaśniłem powyżej, zrobiłem to wraz z uruchomieniem przeglądarki Firefox 79 i jej nowej funkcji, ani Firefox, ani Chrome nie proszą mnie o nic, gdy chcę zobaczyć moje hasła. Przeglądarki przyjmują błędne założenie, że użytkownik, który uzyskał dostęp do przeglądarki, jest właścicielem komputera lub osobą na nim zarejestrowaną. Dlatego w Firefoksie możemy przejść do about: loginy, dostęp Zablokowany i zobaczyć wszystkich naszych użytkowników, hasła są ukryte. Ale co z tego, że są ukryte, jeśli możemy je skopiować do schowka? Mało. Nie inaczej jest w Chrome: przechodzimy do Preferencji / Autouzupełniania i oto one. Jeśli dotkniemy ikony oka, zostaną one wyświetlone. Co może pójść źle?
To sprawia, że myślimy o każdym przypadku, w którym zostawiamy komputer przyjacielowi lub krewnemu. Nie wiem, więc na YouTube możecie obejrzeć filmik z kociętami, kiedy bierzemy prysznic, na przykład na obiad, który umówiliśmy na ten dzień. Nie wiedzieliśmy, że ten znajomy nie jest dobrym przyjacielem lub z jakiegokolwiek powodu chce dostać nasze hasło do Facebooka. Wszystko, co musisz zrobić, to przejść do sekcji haseł, zobaczyć naszą nazwę użytkownika, skopiuj hasło i wklej je do dokumentu tekstowego. Ten znajomy ma już dostęp do naszego Facebooka. Tak proste.
Nie będzie tak w przypadku przeglądarki Firefox 79 dla Windows, który zapyta nas o hasło (użytkownika sesji) w celu wyeksportowania haseł do pliku CSV lub skopiowania ich z Lockwise, ale w obecnym Firefoksie 77 umożliwia nam to kopiowanie bez wprowadzania czegokolwiek. Firefox 79 dla Linuksa nadal pozwala każdemu przejść przez nasz plik z hasłami, tak jak Pedro w domu, nawet jeśli użytkownik nie jest dokładnie tym słynnym Pedro.
Możliwe rozwiązania, które powinni teraz wdrożyć
W zapytaniu, które wysłałem do Firefoksa za pośrednictwem Twittera na temat wersji dla systemu Linux, powiedziano mi, że muszę ustaw hasło główne, aby uniknąć tego problemu. A co z tym? To już wiem, ale inni nie. Rozwiązaniem nie jest zgadywanie, co może się wydarzyć; rozwiązania muszą nam zaoferować firmy. W miarę możliwości nie pozwalałbym na dostęp do Lockwise bez podania hasła użytkownika (systemu) i zapomniałbym hasła głównego. Jeśli powyższe nie jest możliwe, aw systemie Windows tak jest, przeglądarki powinny powiadomić nas o tym, tak jak robi to Apple, wysyłając wiadomość typu „albo wprowadziłeś hasło główne, albo nie będziesz mógł korzystać z pęków kluczy”. To, co moim zdaniem nie jest opcją, jest tym, co istnieje dzisiaj: jeśli nie weźmiemy tego pod uwagę, a ktoś inny to zrobi, zostaniemy zdemaskowani.
Więc teraz wiesz. Wszystko mogłoby się poprawić, a przynajmniej wersja Firefoksa dla systemu Windows tak się stanie, ale obecnie wszystkie przeglądarki, przynajmniej w systemie Linux, źle zarządzają hasłami. Ponieważ nie ostrzegają, co może się stać, jeśli nie skonfigurujemy hasła głównego, robię to w tym artykule, nie musimy zapominać, że to opinia.
To prawda, używam Firefoksa i nie wiedziałem, że mogę dodać hasło główne do moich poświadczeń. Gdyby nie ten artykuł, nie dowiedziałbym się. Deweloperzy nie zgłaszają w momencie, gdy zaczynamy korzystać z Lockwise. To jest utrapienie.
Zacząłem już korzystać z Bitwarden, ponieważ uważałem, że moje hasła są niezabezpieczone. Czy ufasz Bitwardenowi, czy myślisz, że powinienem znaleźć innego menedżera?
Cóż, jeśli dobrze zrozumiałem pisarza, przeglądarki są winne za to, że użytkownicy nie znają ich zalet (w tym przypadku istnienia hasła głównego - cecha, która była w Firefoksie od dolnego paleolitu -).
Z tego, co mówi felietonista, rozwiązaniem tej „awarii” przeglądarek byłoby to, że hasło dostępu do zapisanych kont nie było czymś opcjonalnym dla użytkownika, ale czymś obowiązkowym i z góry określonym przez przeglądarkę. Poza tym wolę swobodę wyboru każdego użytkownika, aby dostosować przeglądarkę do swoich upodobań w oparciu o jego preferencje i okoliczności. Hasło główne Firefoksa ma mały błąd: jeśli zarejestrujesz się według których stron internetowych, za każdym razem otrzymasz ostrzeżenie, aby wprowadzić hasło główne (nawet jeśli nie chcesz się wtedy logować)
1. Nie miałem pojęcia, że wszystkie moje hasła są tak łatwo dostępne.
2. Definiowanie hasła głównego było niezwykle proste i wydajne.
Patrząc na 1 i 2, proste ostrzeżenie o wyłączaniu ochrony zapisanych haseł wystarczyłoby, aby uniknąć większości problemów.
Gdy potencjalne szkody są tak duże, a rozwiązanie tak proste, brak ostrzeżenia o ryzyku staje się zaniedbaniem.
Rozumiem, że odkąd pisarz kupił tego iMaca, dopóki nie chciał używać pęku kluczy iCloud, nie było problemu, że nikt nie prosił go o dane uwierzytelniające do używania lub dostępu do zapisanych haseł.
Od zawsze miał możliwość wprowadzenia hasła do swojego użytkownika w maszynie.
Zakładam, że Apple poinformował Cię, że jeśli tego nie zrobisz, Twoje hasła będą niezabezpieczone.
To musi być powód, dla którego nie ma analogii z hasłem głównym Firefoksa, które, jak już tu powiedzieli, istnieje prawie od zarania dziejów.
Cóż, w przypadku Opery za każdym razem, gdy chcę zobaczyć swoje hasła, przeglądarka prosi mnie o podanie hasła użytkownika systemu operacyjnego. Nie widziałem, co się stanie, jeśli moja nazwa użytkownika nie ma hasła.
Moją skromną opinią w obronie dużych przeglądarek jest to, że domyślnie nie przechowuje poświadczeń, to użytkownik upoważnia do ich zapisania. Po wejściu na witrynę X zostaniesz zapytany, czy chcesz zapisać hasła. Po co przypisywać odpowiedzialność użytkowników twórcom stron internetowych? Jeśli uratowałeś go z własnej woli i albo pożyczysz, albo oni są właścicielami komputera, kochanie, pierdol się za niegrzecznie. Zostałeś ostrzeżony wcześniej.
Dla nowych użytkowników Firefoksa (w tym tych, którzy od lat używają przeglądarki Mozilla, w dużej mierze nieświadomi jej funkcji), jeśli chcą ulepszyć funkcje przeglądarki, ale nie mają wiedzy ani czasu na wniesienie wkładu osobiście, jest funkcja o nazwie „Prześlij opinię”. Dostęp do niej można uzyskać poprzez:
Przycisk menu> Pomoc> Prześlij opinię
Otworzy się zakładka, w której zostaniesz zapytany, czy jesteś zadowolony z Firefoksa, czy nie, jeśli odpowiesz, nie poprosi Cię o krótkie napisanie dlaczego, pomaga to Mozilli skupić się na ulepszaniu usługi przeglądarki Firefox, to jest jak naciskano na kwestię prywatności, włączanie elementów, które wcześniej można było uzyskać tylko poprzez wtyczki, przyzwoite włączenie funkcji HTML5 ... Gdyby redaktorzy tej i innych społeczności różnych języków na świecie byli zorganizowane w celu masowego rozwiązania tego problemu, Mozilla mogłaby poważnie wziąć to pod uwagę przy następnej instalacji przeglądarki Firefox.
W przeszłości często korzystałem z tej usługi, aby zobaczyć ulepszenia wprowadzone do przeglądarki bez konieczności używania wtyczki lub przyzwoitego uruchamiania HTML5, ale najważniejsze jest to, że wcześniej podczas wysyłania odpowiedzi oferowali Ci link, aby mógłbyś sprawdzić swoje sugestie, czy problem?, że mógłbyś węszyć w sugestiach innych na całym świecie i współpracować, aby zobaczyć dodane te funkcje lub poprawić błąd, który już się nie zdarza, ani nie widzę, gdzie kontynuować teraz jednak pomoc techniczna Mozilli nadal zaleca używanie Firefox Opinion do przekazywania opinii na temat błędów, awarii, awarii, luk i zgłaszania ulepszeń przeglądarki.
Nie zgadzam się z twoją sugestią „albo wprowadzisz hasło główne, albo nie będziesz mógł korzystać z pęków kluczy”, to żądanie, aby firma zmusiła użytkownika tak lub tak, aby zastosował hasło główne w celu uzyskania dostępu of lockwise, to znaczy, że oznacza to nawet modyfikację sposobu działania Firefox Sync, ponieważ jeśli nie ustawiłeś hasła głównego, Firefox Sync nie może pobierać ani aktualizować haseł, zarządzanie hasłami lub ich złożonością nie jest bezpośrednią odpowiedzialnością firmy, ale jeśli chodzi o użytkownika końcowego, który żąda i konsumuje produkt, Mozilla po pierwszym uruchomieniu Firefoksa, a następnie w korzystaniu z Firefox Sync, może położyć nacisk na wykorzystanie hasła głównego do zabezpieczenia dodatkowych haseł w warunkach, do których firma za jakąkolwiek nieostrożność użytkownika nie może już przejąć firmy. To jest zrozumiałe ?.
Cześć, dzięki za wiadomość.
Powiem ci więcej, przynajmniej w Linuksie, powiedzmy, że pozwalają ci korzystać z maszyny, ponieważ musisz połączyć się z internetem i otworzyć chrome, logujesz się na swoje konto Google i nieumyślnie wstawiasz synchronizację konta ... Uff błąd wszystko hasła są pobierane na ten komputer.
Do tej pory wszystko mniej więcej w porządku. Idziesz, wylogowujesz się, usuwasz również konto synchronizacji, otwierasz i zamykasz Chrome i Zaz, wszystkie twoje hasła i zakładki itp. Są nadal w tej sesji maszyny.
Ok, przechodzisz do chrome, advanced, reset chrome to factory i Zas, tam śledzą wszystkie twoje informacje.
Cóż, odinstaluj i zainstaluj ponownie Chrome ... Ufff, wszystkie twoje hasła i inne informacje nadal tam są.
Jedynym sposobem, w jaki musiałem uzyskać informacje z tej sesji Linuksa, było ręczne wejście do strony głównej tej sesji Linuksa i usunięcie każdego z plików chrome.
Straszny!!!
Bardzo dobry artykuł, ale w Firefoksie problem jest jeszcze poważniejszy. Jeśli masz hasło główne, a twój przyjaciel chce oglądać filmy z kociętami, nie będzie w stanie tego zrobić bez hasła głównego, ponieważ prosi o nie wielokrotnie, aby nawigować, tak jak jest to robione regularnie. Oczywistym rozwiązaniem byłoby to, że bez podania hasła głównego rozpoczyna się sesja „gościa”, na przykład, w której nie można uzyskać dostępu do ustawień lub danych logowania. Innymi słowy, hasło główne jest nadal przydatne tylko dla właściciela komputera, na którym działa Firefox. Ta kwestia jest naprawdę poważna, nie tylko na komputerze osobistym, jest również szczególnie poważna na komputerach instytucjonalnych. Pozdrowienia…