Ja, webbläsare är det felhantering av lösenord. Eftersom detta är ett yttrande och så det anges även i rubriken kommer jag att säga mycket dåligt. Dödlig. Och detta är något som jag personligen inte hade uppskattat förrän lanseringen av Firefox 79, nu på kanalen nattlig från Mozilla. Den version som släpps i augusti kommer med en ny funktion: möjligheten att exportera alla våra referenser till en CSV-fil. I fallet med Linux, för närvarande ber den inte ens om ett lösenord för det.
Även om jag har börjat prata om Firefox är detta något som händer också i krom, inklusive möjligheten att exportera våra lösenord till CSV-filen som har funnits länge i Googles förslag, vilket är två av de mest använda webbläsarna i världen och är också fallet i många andra som hanterar lösenord. Vad är problemet ur min synvinkel? Egentligen två: lättheten att göra saker och frånvaron av en varning om att om vi inte lägger till ett huvudlösenord kommer alla våra lösenord att snoopas på några sekunder. Har den en lösning? Ja, och ur min synpunkt finns det en mycket enkel som vi har lärt oss av Apple.
Apple lärde oss hur webbläsare ska hantera lösenord
Jämförelser är hatiska, särskilt på en blogg som denna där det förväntas att endast Linux kommer att diskuteras, men ibland är det nödvändigt att täcka lite mer. Med det förklarade, låt oss prata lite om äppelföretaget. Apple har aldrig uppfunnit något hjul, det är så det är. Det enda som företaget som Tim Cook driver är att ta idéer som andra har haft, ibland förbättra dem och sedan sälja dem som ingen annan. Något som de har förbättrat är hanteringen av lösenord, och nu förklarar jag varför.
Även om de datorer jag har använt mest har alltid haft Linux, har jag också en gammal iMac och en Windows-bärbar dator. Jag hade min iMac utan lösenord i flera år tills Apple släppte iCloud Keychain och sa till mig att om jag ville använda den funktionen var jag tvungen att lösenordet för enheten. Jag satte på den. Om jag nu vill se några av mina lösenord i Safari måste jag ange lösenordet för min användare (för operativsystemet). Om jag inte tar på mig kommer jag inte att se något. Varken jag eller någon annan kan komma åt mina uppgifter. Detta är rätt sak att göra utan tvekan. Det finns inget huvudlösenord i webbläsaren och operativsystemet var ansvarig för att meddela mig att om jag ville ha mina lösenord måste jag ställa in ett lösenord för inloggningen.
Hur Firefox och Chrome misshandlar lösenord
Även om jag aldrig hade övervägt det, och som jag förklarade ovan, gjorde jag det med lanseringen av Firefox 79 och dess nya funktion, varken Firefox eller Chrome ber mig om något när jag vill se mina lösenord. Webbläsarna antar, med fel antagande, att användaren som har öppnat webbläsaren är ägaren till datorn eller någon som är registrerad på den. Därför kan vi i Firefox gå till om: inloggningar, åtkomst Låsvis och se alla våra användare, lösenorden är dolda. Men vad är det bra att de är dolda om vi kan kopiera dem till Urklipp? Av lite. Och saken är inte annorlunda i Chrome: vi går till Inställningar / Autoslutför och där är de. Om vi trycker på ögonikonen visas de. Vad kan gå fel?
Detta får oss att tänka på alla fall där vi lämnar vår dator till en vän eller släkting. Jag vet inte, så du kan se en video av kattungar på YouTube medan vi duschar till exempel till middagen vi har ordnat för den dagen. Vi visste inte att denna vän inte är en bra vän eller av någon anledning vill få vårt Facebook-lösenord. Allt du behöver göra är att gå till lösenordssektionen, se vårt användarnamn, kopiera lösenordet och klistra in det i ett textdokument. Den kompisen har redan tillgång till vår Facebook. Så lätt.
Detta kommer inte att vara fallet i Firefox 79 för Windows, som kommer att be oss om lösenordet (av sessionsanvändaren) för att exportera lösenorden till CSV-filen eller kopiera dem från Lockwise, men i nuvarande Firefox 77 tillåter det oss att kopiera dem utan att ange någonting. Firefox 79 för Linux fortsätter att låta vem som helst gå igenom vår lösenordsfil som Pedro hemma, även om användaren inte exakt är den berömda Pedro.
Möjliga lösningar som de bör implementera nu
I en fråga som jag gjorde till Firefox via Twitter om Linux-versionen fick jag veta att jag måste ställa in ett huvudlösenord för att undvika det problemet. Hur är detta? Det vet jag redan, men andra inte. Lösningen är inte att gissa vad som kan hända; lösningen måste erbjudas oss av företagen. När det är möjligt tillåter jag inte åtkomst till Lockwise utan att ange användarlösenordet (i systemet) och jag skulle glömma huvudlösenordet. Om ovanstående inte är möjligt, och i Windows är det, bör webbläsare meddela oss detta som Apple gör med ett meddelande som "antingen lägger du in ett huvudlösenord eller så kommer du inte att kunna använda nyckelringarna." Vad jag tycker inte är ett alternativ är vad som finns idag: om vi inte tar hänsyn till det och en annan gör det, blir vi utsatta.
Så nu vet du. Saker kan förbättras, och åtminstone Firefox-versionen av Windows kommer att göra det, men i dessa dagar förvaltar alla webbläsare, åtminstone på Linux, lösenord. Eftersom de inte varnar för vad som kan hända om vi inte konfigurerar ett huvudlösenord, gör jag det i den här artikeln, vi behöver inte glömma att det är en åsikt.
Mycket sant, jag använder Firefox och visste inte att jag kunde lägga till ett huvudlösenord till mina uppgifter. Om inte den här artikeln skulle jag inte ha fått reda på det. Utvecklarna rapporterar inte när vi börjar använda Lockwise. Det är en olägenhet.
Jag började redan använda Bitwarden eftersom jag trodde att mina lösenord var osäkra, litar du på Bitwarden eller tycker du att jag skulle hitta en annan chef?
Tja, om jag förstod författaren rätt, är webbläsarna skyldiga för det faktum att användare inte känner till deras fördelar (i det här fallet förekomsten av huvudlösenordet - en egenskap som har funnits i Firefox sedan nedre paleolithic-).
Från vad kolumnisten säger skulle lösningen på detta "misslyckande" i webbläsarna vara att lösenordet för att komma åt de sparade kontona inte var något valfritt för användaren, utan något obligatoriskt och förutbestämt av webbläsaren. Bortsett från att jag föredrar varje användares valfrihet att justera webbläsaren efter deras önskemål baserat på deras preferenser och omständigheter. Firefox-huvudlösenordet har ett litet fel: Om du registrerar dig efter vilka webbplatser hoppar det dig varje gång du besöker dem, en varning för dig att infoga huvudlösenordet (även om du inte vill logga in vid den tiden )
1. Jag hade ingen aning om att alla mina lösenord var så lätta att komma åt.
2. Att definiera huvudlösenordet har varit extremt enkelt och effektivt.
Om man tittar på 1 och 2 skulle en enkel varning om att skydda sparade lösenord vara tillräckligt för att undvika de flesta problem.
När den potentiella skadan är så stor, och lösningen så enkel, blir försummelse att varna för risken.
Jag förstår att eftersom författaren köpte den iMac, tills han ville använda iCloud Keychain, var det inte ett problem att ingen bad honom om referenser för att använda eller komma åt de sparade lösenorden.
Han hade alltid möjlighet att sätta lösenord till sin användare i maskinen.
Jag antar att Apple informerade dig om att om du inte gjorde det skulle dina lösenord vara oskyddade.
Det måste vara anledningen till att det inte finns någon analogi med Firefox-huvudlösenordet som, som de redan har sagt här, har funnits nästan sedan tidens början.
Tja, när det gäller Opera, varje gång jag vill se mina lösenord ber webbläsaren mig att ange användarlösenordet för operativsystemet. Jag har inte sett vad som händer om mitt användarnamn inte har ett lösenord.
Min ödmjuka åsikt till försvar för stora webbläsare är att den inte lagrar referenser som standard, det är användaren som bemyndigar att spara dem. När du går in på en webbplats X får du frågan om du vill spara lösenorden. Varför tillskriva webbansvariga användaransvar? Om du sparade den av din fria vilja och antingen lånar ut den eller så äger de datorn, kära, knulla dig själv för stygg. Du varnades tidigare.
För de som är nya i Firefox (inklusive de som i flera år har använt Mozilla-webbläsaren, som i stort sett inte är medvetna om dess funktioner), om de vill förbättra webbläsarens funktioner men inte har kunskap eller tid att göra bidraget personligen finns det en funktion som heter «Skicka åsikt», de kan komma åt den genom:
Menyknapp> Hjälp> Skicka feedback
En flik öppnas där du blir tillfrågad om du är nöjd med Firefox eller inte, om du svarar kommer den inte att fråga dig att kortfatta varför, detta hjälper som feedback för Mozilla att fokusera på att förbättra tjänsten i Firefox-webbläsaren, detta är hur det har pressats med frågan om integritet, införlivandet av element som innan du bara kunde ha genom plugins, en anständig införlivande av HTML5-funktioner ... Om redaktörerna för detta och andra samhällen på olika språk i världen var organiserad för att rätta till detta problem i massor, kunde Mozilla ta det på allvar för nästa del av Firefox-webbläsaren.
Tidigare brukade jag använda den här tjänsten mycket för att se förbättringar införlivade i webbläsaren utan att behöva använda ett plugin eller för att köra HTML5 anständigt, men det viktigaste är att tidigare när de skickade svaret erbjöd de dig länken så att du kunde följa upp dina förslag, problemet?, att du kan snoka i förslag från andra över hela världen och samarbeta för att se tillagda dessa funktioner eller för att korrigera något fel, som inte längre händer, och jag kan inte se var jag ska följa upp nu, dock , i Mozilla-support fortsätta att rekommendera att använda Firefox Opinion för att ge feedback om buggar, kraschar, kraschar, luckor och rapporterar förbättringar för webbläsaren.
Vad jag inte håller med ditt förslag om "antingen sätter du ett huvudlösenord eller så kommer du inte att kunna använda nyckelringarna", är att du kräver att företaget tvingar användaren ja eller ja att tillämpa huvudlösenordet för att få tillgång till användningen av lockwise, det vill säga detta innebär till och med att man ändrar hur Firefox Sync fungerar, för om du inte har ställt in ett huvudlösenord kan Firefox Sync inte ladda ner eller uppdatera lösenord, hantering av lösenord eller deras komplexitet är inte ett företags direkta ansvar, men av slutanvändaren som är den som kräver och konsumerar produkten, vad som kan göras är att Mozilla ska betona vikten efter den första körningen av Firefox och därefter i användningen av Firefox Sync, att använda huvudlösenordet för ytterligare säkerhetslösenord under förutsättningar för vilka företaget för oaktsamhet hos användaren inte längre kan ta över företaget. Det är uppfattat?.
Hej, tack för inlägget.
Jag berättar mer, i Linux åtminstone, säg att de tillåter dig att använda en maskin eftersom du måste ansluta till internet och öppna kromen, logga in på ditt Google-konto och oavsiktligt sätta kontosynkronisering ... Uff-fel alla lösenord laddas ner till den maskinen.
Fram till allt allt mer eller mindre ok. Du går, du loggar ut, du tar också bort synkroniseringskontot, du öppnar Chrome och Zaz, alla dina lösenord och bokmärken etc. finns fortfarande i maskinens session.
Okej, du går till krom, avancerad, återställ krom till fabrik och Zas, de följer all din information där.
Tja, avinstallera och installera Chrome igen ... Ufff alla dina lösenord och annan information finns kvar.
Det enda sättet jag var tvungen att få ut min information från den Linux-sessionen var att manuellt komma in i Linux-sessionens hem och ta bort var och en av kromfilerna.
Fruktansvärd!!!
Mycket bra artikel, men i Firefox är problemet ännu mer allvarligt. Om du har ett huvudlösenord och din vän vill titta på videor av kattungar kommer han inte att kunna utan huvudlösenordet, eftersom han ber om det om och om igen för att navigera som det görs regelbundet. En uppenbar lösning skulle vara att genom att inte sätta huvudlösenordet startar en "gäst" -session, till exempel där du inte kan komma åt inställningarna eller inloggningarna. Med andra ord fortsätter huvudlösenordet att vara användbart bara för ägaren till den dator där Firefox körs. Denna fråga är verkligen allvarlig, inte bara på en persondator, den är också särskilt allvarlig på institutionella datorer. Hälsningar…