Da, browserele sunt gestionarea greșită a parolelor. Deoarece acesta este un articol de opinie și este indicat chiar și în titlu, voi spune foarte rău. Fatal. Și acest lucru nu l-am apreciat personal până la lansarea Firefox 79, acum pe canal noapte de noapte de la Mozilla. Versiunea care va fi lansată în august va veni cu o nouă funcție: posibilitatea de a exporta toate acreditările noastre într-un fișier CSV. În cazul Linux, în acest moment nici măcar nu cere o parolă pentru acesta.
Deși am început să vorbesc despre Firefox, acesta este ceva care se întâmplă și în crom, inclusiv posibilitatea de a exporta parolele noastre în fișierul CSV care a fost disponibil de mult timp în propunerea Google, care sunt două dintre cele mai utilizate browsere din lume și este, de asemenea, cazul în multe altele care gestionează parolele. Care este problema din punctul meu de vedere? De fapt, două: ușurința de a face lucrurile și absența unui avertisment că, dacă nu adăugăm o parolă principală, toate parolele noastre vor fi ascunse în câteva secunde. Are o soluție? Da, și din punctul meu de vedere, există unul foarte simplu pe care l-am învățat de la Apple.
Apple ne-a învățat cum browserele ar trebui să gestioneze parolele
Comparațiile sunt urâtoare, mai ales pe un blog de genul acesta în care este de așteptat să se discute doar despre Linux, dar uneori este necesar să acoperim ceva mai mult. Cu asta explicat, să vorbim puțin despre compania de mere. Apple nu a inventat niciodată o roată, asa este. Singurul lucru pe care îl face compania pe care o conduce Tim Cook este să preia ideile pe care le-au avut alții, uneori să le îmbunătățească și apoi să le vândă ca nimeni altcineva. Ceva pe care l-au îmbunătățit este gestionarea parolelor, iar acum explic de ce.
Deși computerele pe care le-am folosit cel mai mult au avut întotdeauna Linux, am și un iMac vechi și un laptop Windows. Am avut iMac-ul meu fără parolă de ani de zile, până când Apple a lansat iCloud Keychain și mi-a spus că, dacă doresc să folosesc această funcție, trebuie să parolez dispozitivul. L-am pus. Acum, dacă vreau să văd unele parole în Safari, trebuie să pun parola utilizatorului meu (a sistemului de operare). Dacă nu îl pun, nu voi vedea NIMIC. Nici eu, nici altcineva nu putem accesa acreditările mele. Acesta este lucrul corect de făcut, fără îndoială. Nu există o parolă principală în browser și sistemul de operare era însărcinat să mă anunțe că, dacă doream să am parolele mele, trebuia să setez o parolă pentru autentificare.
Modul în care Firefox și Chrome gestionează greșit parolele
Deși nu m-am gândit niciodată și, așa cum am explicat mai sus, am făcut-o odată cu lansarea Firefox 79 și noua sa funcție, nici Firefox, nici Chrome nu-mi cer nimic atunci când vreau să-mi văd parolele. Browserele presupun, presupunând greșit, că utilizatorul care a accesat browserul este proprietarul computerului sau cineva înregistrat pe acesta. Prin urmare, în Firefox putem merge la despre: Conectări, acces Lockwise și vedeți toți utilizatorii noștri, parolele fiind ascunse. Dar la ce bun este că sunt ascunse dacă le putem copia în clipboard? De puțin. Și lucrul nu este diferit în Chrome: mergem la Preferințe / Completare automată și iată-le. Dacă atingem pictograma ochi, acestea vor fi afișate. Ce poate merge rau?
Acest lucru ne face să ne gândim la orice caz în care lăsăm computerul unui prieten sau unei rude. Nu știu, așa că puteți vedea un videoclip cu pisoi pe YouTube în timp ce facem duș, de exemplu, pentru cina pe care am organizat-o pentru ziua respectivă. Nu știam că acest prieten nu este un prieten bun sau, din orice motiv, dorește să obțină parola noastră de Facebook. Tot ce trebuie să faceți este să accesați secțiunea parole, consultați numele nostru de utilizator, copiați parola și lipiți-o într-un document text. Prietenul respectiv are deja acces la Facebook-ul nostru. Asa de usor.
Acest lucru nu va fi cazul în Firefox 79 pentru Windows, care ne va cere parola (al utilizatorului sesiunii) pentru a exporta parolele în fișierul CSV sau a le copia din Lockwise, dar în actualul Firefox 77 ne permite să le copiem fără a introduce nimic. Firefox 79 pentru Linux continuă să permită oricui să meargă prin fișierul nostru de parolă ca Pedro acasă, chiar dacă utilizatorul nu este tocmai celebrul Pedro.
Soluții posibile pe care ar trebui să le pună în aplicare acum
Într-o interogare pe care am făcut-o către Firefox prin Twitter despre versiunea Linux, mi s-a spus că trebuie setați o parolă principală pentru a evita această problemă. Ce zici de asta? Asta știu deja, dar alții nu. Soluția nu este să ghicești ce s-ar putea întâmpla; soluția trebuie să ne fie oferită de companii. Ori de câte ori este posibil, nu aș permite accesul la Lockwise fără a introduce parola de utilizator (a sistemului) și aș uita parola principală. Dacă cele de mai sus nu sunt posibile, iar în Windows este posibil, browserele ar trebui să ne anunțe acest lucru, așa cum face Apple cu un mesaj de tipul „fie că ai pus o parolă principală, fie că nu vei putea folosi brelocurile”. Ceea ce cred că nu este o opțiune este ceea ce există astăzi: dacă nu o luăm în considerare și alta o face, suntem expuși.
Așa că acum știi. Lucrurile s-ar putea îmbunătăți și cel puțin versiunea Firefox a Windows-ului se va îmbunătăți, dar în aceste zile, toate browserele, cel puțin pe Linux, gestionează greșit parolele. Deoarece nu avertizează despre ce se poate întâmpla dacă nu configurăm o parolă master, o fac în acest articol, nu trebuie să uităm că este o opinie.
Foarte adevărat, folosesc Firefox și nu știam că aș putea adăuga o parolă principală la acreditările mele. Dacă nu pentru acest articol nu aș fi aflat. Dezvoltatorii nu raportează în momentul în care începem să folosim Lockwise. Este o pacoste.
Începusem deja să folosesc Bitwarden pentru că am crezut că parolele mele erau nesigure, ai încredere în Bitwarden sau crezi că ar trebui să găsesc un alt manager?
Ei bine, dacă am înțeles corect scriitorul, browserele sunt de vină pentru faptul că utilizatorii nu-și cunosc avantajele (în acest caz, existența parolei principale - o caracteristică care a fost în Firefox încă din paleoliticul inferior-).
Din ceea ce spune scriitorul, soluția la acest „eșec” al browserelor ar fi aceea că parola pentru accesarea conturilor salvate nu era ceva opțional pentru utilizator, ci ceva obligatoriu și predeterminat de browser. Lăsând deoparte că prefer libertatea de alegere a fiecărui utilizator de a regla browserul după preferința lor în funcție de preferințe și circumstanțe. Parola principală Firefox are o mică eroare: dacă vă înregistrați în funcție de ce site-uri web, veți primi, de fiecare dată când vizitați, un avertisment pentru a introduce parola principală (chiar dacă nu doriți să vă conectați la acel moment)
1. Nu aveam idee că toate parolele mele erau atât de ușor de accesat.
2. Definirea parolei master a fost extrem de simplă și eficientă.
Privind la 1 și 2, un avertisment simplu despre neprotejarea parolelor salvate ar fi suficient pentru a evita majoritatea problemelor.
Atunci când daunele potențiale sunt atât de mari și soluția atât de simplă, eșecul în avertizarea asupra riscului devine neglijență.
Înțeleg că, de când scriitorul a cumpărat acel iMac, până când a vrut să folosească iCloud Keychain, nu a fost o problemă că nimeni nu i-a cerut acreditări pentru a utiliza sau a accesa parolele salvate.
El a avut posibilitatea de a pune parola utilizatorului său în aparat încă de la început.
Presupun că Apple v-a informat că, dacă nu ați face acest lucru, parolele dvs. ar fi neprotejate.
Acesta trebuie să fie motivul pentru care nu există nicio analogie cu parola principală Firefox care, așa cum au spus deja aici, a existat aproape de la începutul timpului.
Ei bine, în cazul Opera, de fiecare dată când vreau să-mi văd parolele, browserul îmi cere să introduc parola de utilizator a sistemului de operare. Nu am văzut ce se întâmplă dacă numele meu de utilizator nu are o parolă.
Umila mea părere în apărarea browserelor mari este că nu stochează acreditările în mod implicit, este utilizatorul care autorizează să le salveze. Când introduceți un site X, vi se cere dacă doriți să salvați parolele. De ce să atribuim responsabilitatea utilizatorului dezvoltatorilor web? Dacă l-ați salvat din propria voință și fie îl împrumutați, fie ei dețin PC-ul, dragă, dracu 'pentru obraznic. Ai fost avertizat înainte.
Pentru cei noi la Firefox (inclusiv cei care de ani de zile au folosit browserul Mozilla, în mare măsură nu știu de funcțiile sale), dacă doresc să îmbunătățească caracteristicile browserului, dar nu au cunoștințele sau timpul necesar pentru a contribui personal, există un caracteristică numită „Trimiteți o opinie”, o pot accesa prin:
Buton Meniu> Ajutor> Trimiteți feedback
Se va deschide o filă în care sunteți întrebat dacă sunteți mulțumit sau nu de Firefox, dacă răspundeți nu vă va cere să scrieți scurt de ce, acest lucru ajută ca feedback pentru Mozilla să se concentreze pe îmbunătățirea serviciului browserului Firefox, acesta este modul în care a fost presat cu problema confidențialității, încorporarea elementelor pe care înainte nu le puteai avea decât prin pluginuri, o încorporare decentă a caracteristicilor HTML5 ... Dacă editorii acestei și ale altor comunități din diferite limbi din lume ar fi organizat pentru a corecta această problemă în masă, Mozilla ar putea să o ia în serios în considerare pentru următoarea versiune a browserului Firefox.
În trecut, obișnuiam să folosesc foarte mult acest serviciu pentru a vedea îmbunătățirile încorporate în browser fără a fi nevoie să folosesc un plugin sau să rulez HTML5 decent, dar cel mai important lucru este că, anterior, atunci când trimitea răspunsul, îți ofereau linkul, astfel încât să urmăriți sugestiile dvs., nu este problema?, că ați putea asculta sugestiile altor persoane din întreaga lume și a colabora pentru a vedea adăugate aceste caracteristici sau pentru a corecta orice eroare, care nu se mai întâmplă, și nici nu văd unde să urmăresc acum , în asistența Mozilla, recomandăm în continuare utilizarea Firefox Opinion pentru a oferi feedback cu privire la erori, blocări, blocări, lacune și raportarea îmbunătățirilor pentru browser.
Ceea ce nu sunt de acord cu sugestia dvs. „fie că puneți o parolă principală, fie că nu veți putea folosi brelocurile”, este că solicitați companiei să forțeze utilizatorul da sau da să aplice parola principală pentru a accesa utilizarea de blocare, adică acest lucru implică chiar modificarea modului în care funcționează Firefox Sync, deoarece dacă nu ați setat o parolă master, Firefox Sync nu poate descărca sau actualiza parolele, gestionarea parolelor sau complexitatea acestora nu este responsabilitatea directă a unei companii, dar pentru utilizatorul final care este cel care solicită și consumă produsul, ceea ce se poate face este ca Mozilla să sublinieze importanța după prima execuție a Firefox și ulterior în utilizarea Firefox Sync, pentru a utiliza parola principală pentru securitate parole suplimentare în condiții în care compania pentru orice neglijență a utilizatorului nu mai poate prelua compania. Este inteles?.
Bună, mulțumesc pentru postare.
Vă spun mai multe, cel puțin în linux, puneți că vă permit să utilizați o mașină pentru că trebuie să vă conectați la internet și să deschideți Chrome, vă conectați la contul dvs. Google și, din greșeală, puneți contul de sincronizare ... parolele sunt descărcate pe aparatul respectiv.
Până acolo totul mai mult sau mai puțin ok. Mergeți, vă deconectați, eliminați și contul de sincronizare, deschideți-închideți Chrome și Zaz, toate parolele și marcajele etc. sunt încă în acea sesiune a mașinii.
Ok, mergi la Chrome, avansat, resetează Chrome la fabrică și Zas, ei îți urmăresc toate informațiile acolo.
Ei bine, dezinstalați și instalați Chrome din nou ... Ufff toate parolele și alte informații sunt încă acolo.
Singura modalitate pe care am avut-o de a obține informațiile mele din acea sesiune Linux a fost să intru manual în acea sesiune Linux și să șterg fiecare fișier Chrome.
Teribil!!!
Articol foarte bun, dar în Firefox problema este și mai gravă. Dacă aveți o parolă principală și prietenul dvs. dorește să vizioneze videoclipuri cu pisoi, el nu va putea să o facă fără parola principală, întrucât o cere din nou și din nou pentru a naviga așa cum se face în mod regulat. O soluție evidentă ar fi aceea că, dacă nu introduceți parola principală, începe o sesiune „invitat”, de exemplu, în care nu puteți accesa setările sau autentificările. Cu alte cuvinte, parola principală continuă să fie utilă doar pentru proprietarul computerului pe care rulează Firefox. Acest subiect este foarte serios, nu numai pe un computer personal, ci este deosebit de serios și pe computerele instituționale. Salutari…