Так, браузери є неправильне управління паролями. Оскільки це стаття з думкою, і вона зазначена навіть у заголовку, я скажу дуже погано. Фатальним. І це те, що я особисто не оцінював до запуску Firefox 79, який зараз знаходиться на каналі щоночі від Mozilla. Версія, яка буде випущена в серпні, матиме нову функцію: можливість експорту всіх наших облікових даних у файл CSV. У випадку з Linux наразі він навіть не запитує пароль для нього.
Хоча я вже почав говорити про Firefox, це щось таке також трапляється в хромі, включаючи можливість експорту наших паролів до файлу CSV, який вже давно доступний у пропозиції Google, який є двома найбільш використовуваними браузерами у світі, а також у багатьох інших, що керують паролями. У чому проблема з моєї точки зору? Власне, два: простота виконання дій та відсутність попередження про те, що, якщо ми не додамо головний пароль, усі наші паролі будуть проглянуті за лічені секунди. Він має рішення? Так, і з моєї точки зору, є дуже проста, про яку ми дізналися від Apple.
Apple навчила нас, як браузери повинні керувати паролями
Порівняння є ненависними, особливо в такому блозі, де очікується, що обговорюватиметься лише Linux, але іноді потрібно трохи більше висвітлити. Пояснюючи це, давайте трохи поговоримо про компанію яблук. Apple ніколи не винаходила жодного колеса, ось як це. Єдина річ, якою займається компанія, якою керує Тім Кук, - це сприймати ідеї інших людей, іноді вдосконалювати їх, а потім продавати, як ніхто інший. Щось, що вони вдосконалили, - це управління паролями, і тепер я пояснюю, чому.
Хоча комп’ютери, якими я користувався найбільше, завжди мали Linux, у мене також є старий iMac та ноутбук Windows. Я мав свій iMac без пароля протягом багатьох років, поки Apple не випустила iCloud Keychain і не сказала мені, що якщо я хочу використовувати цю функцію, я повинен ввести пароль пристрою. Я одягнув його. Тепер, якщо я хочу побачити деякі з моїх паролів у Safari, я повинен ввести пароль свого користувача (операційної системи). Якщо я не одягну його, я НІЧОГО не побачу. Ні я, ні хтось інший не можемо отримати доступ до своїх облікових даних. Це, без сумніву, правильна річ. У браузері немає головного пароля і операційна система відповідала за те, щоб повідомити мене що якщо я хочу мати на ньому свої паролі, я повинен був встановити пароль для входу.
Як Firefox та Chrome неправильно обробляють паролі
Хоча я ніколи про це не думав, і, як я вже пояснив вище, це зробив із запуском Firefox 79 та його новою функцією, ні Firefox, ні Chrome не просять у мене нічого, коли я хочу побачити свої паролі. Браузери припускають, помилково припускаючи, що користувач, який отримав доступ до браузера, є власником комп’ютера або кимось зареєстрованим на ньому. Тому у Firefox ми можемо перейти до про: логіни, доступ Локально і побачити всіх наших користувачів, паролі приховані. Але яка користь від того, що вони приховані, якщо ми можемо скопіювати їх у буфер обміну? З небагатьох. І справа не в іншому в Chrome: ми переходимо до Налаштування / Автозаповнення, і ось вони. Якщо ми натиснемо на піктограму ока, вони відображатимуться. Що може піти не так?
Це змушує нас думати про будь-який випадок, коли ми залишаємо свій комп’ютер другові чи родичу. Не знаю, тому ви можете побачити відео кошенят на YouTube, поки ми приймаємо душ, наприклад, на вечерю, яку ми домовились на той день. Ми не знали, що цей друг не є хорошим другом або з якоїсь причини хоче отримати наш пароль на Facebook. Все, що вам потрібно зробити, це перейти до розділу паролів, побачити наше ім’я користувача, скопіюйте пароль і вставте його в текстовий документ. Цей друг уже має доступ до нашого Facebook. Це просто.
Цього не буде у Firefox 79 для Windows, який запитає у нас пароль (користувача сеансу), щоб експортувати паролі до файлу CSV або скопіювати їх із Lockwise, але в поточному Firefox 77 він дозволяє нам копіювати їх, не вводячи нічого. Firefox 79 для Linux продовжує дозволяти кожному ходити по нашому файлу паролів, як Педро вдома, навіть якщо користувач не зовсім відомий Педро.
Можливі рішення, які вони повинні реалізувати зараз
У запиті, який я звернувся до Firefox через Twitter щодо версії Linux, мені сказали, що я повинен встановіть головний пароль, щоб уникнути цієї проблеми. Як що до цього? Це я вже знаю, а інші - ні. Рішення не в тому, щоб здогадатися, що може статися; рішення повинні запропонувати нам компанії. По можливості, я б не дозволяв доступ до Lockwise без введення пароля користувача (системи), і я забув би головний пароль. Якщо вищезазначене неможливо, а в Windows це можливо, браузери повинні повідомити нас про це, як це робить Apple, повідомленням на кшталт "або ви вводите головний пароль, або ви не зможете користуватися брелками". Я вважаю, що це не варіант, це те, що існує сьогодні: якщо ми не беремо його до уваги, а інший приймає, ми піддаємось.
Тож тепер ви знаєте. Справа може покращитися, і принаймні версія Windows Firefox зробить це, але в наші дні всі браузери, принаймні в Linux, неправильно керують паролями. Оскільки вони не попереджають про те, що може статися, якщо ми не налаштуємо головний пароль, я роблю це в цій статті, нам не потрібно забувати, що це думка.
Правда, я використовую Firefox і не знав, що можу додати головний пароль до своїх облікових даних. Якби не ця стаття, я б не дізнався. Розробники не повідомляють про час, коли ми починаємо використовувати Lockwise. Це неприємність.
Я вже починав користуватися Bitwarden, тому що вважав, що мої паролі небезпечні, чи довіряєте Ви Bitwarden чи вважаєте, що мені слід знайти іншого менеджера?
Ну, якщо я правильно зрозумів автора, браузери винні в тому, що користувачі не знають їх переваг (у даному випадку існування головного пароля - характеристика, яка була у Firefox з часів нижчого палеоліту -).
З того, що каже оглядач, рішенням цієї "невдачі" браузерів буде те, що пароль для доступу до збережених облікових записів не є чимось необов’язковим для користувача, а чимось обов’язковим і визначеним браузером. Залишаючи осторонь, що я віддаю перевагу свободі вибору кожного користувача налаштовувати браузер на свій смак, виходячи зі своїх уподобань та обставин. У головному паролі Firefox є невелика помилка: якщо ви реєструєтесь відповідно до яких веб-сайтів, він підскаже вам, щоразу, коли ви їх відвідуєте, попередження для вставки головного пароля (навіть якщо ви не хочете входити в систему в той час )
1. Я навіть не підозрював, що до всіх моїх паролів було так легко отримати доступ.
2. Визначення головного пароля було надзвичайно простим та ефективним.
Дивлячись на 1 та 2, простого попередження про захист збережених паролів буде достатньо, щоб уникнути більшості проблем.
Коли потенційний збиток настільки великий, а рішення настільки просте, не попередження про ризик стає недбалістю.
Я розумію, що з тих пір, як письменник придбав цей iMac, поки він не захотів скористатися iCloud Keychain, не було проблемою, що ніхто не просив у нього облікових даних для використання або доступу до збережених паролів.
Він завжди мав можливість ввести пароль свого користувача в машині.
Я припускаю, що Apple повідомила вас, що якщо ви цього не зробите, ваші паролі будуть захищені.
Ось чому, немає аналогії з головним паролем Firefox, який, як вони вже говорили тут, існує майже з самого початку.
Що ж, у випадку з Opera, кожного разу, коли я хочу побачити свої паролі, браузер просить мене ввести пароль користувача операційної системи. Я не бачив, що станеться, якщо моє ім'я користувача не має пароля.
Моя скромна думка на захист великих браузерів полягає в тому, що він не зберігає облікові дані за замовчуванням, саме користувач уповноважує їх зберігати. Коли ви заходите на сайт X, вас запитують, чи хочете ви зберегти паролі. Навіщо приписувати відповідальність користувача веб-розробникам? Якщо ви зберегли його за власним бажанням і або позичите, або вони володіють вашим ПК, шановний, ебать вас за неслухняність. Вас попереджали раніше.
Для тих, хто новачок у Firefox (включаючи тих, хто роками користується браузером Mozilla, в основному не знаючи про його функції), якщо вони хочуть покращити функції браузера, але не мають знань або часу, щоб зробити внесок особисто, там це функція під назвою «Надіслати думку». Вони можуть отримати до неї доступ через:
Кнопка меню> Довідка> Надіслати відгук
Відкриється вкладка, в якій вас запитають, задоволені ви Firefox чи ні, якщо ви відповісте, не буде просити вас коротко писати, чому, це допомагає як зворотний зв’язок для Mozilla зосередитись на вдосконаленні служби браузера Firefox, це як це було натиснуто на питання конфіденційності, включення елементів, які раніше ви могли мати лише за допомогою плагінів, гідне включення функцій HTML5 ... Якби редактори цієї та інших спільнот різних мов у світі були організована для масового виправлення цієї проблеми, Mozilla могла б серйозно поставитись до її розгляду для наступного внеску браузера Firefox.
Раніше я багато використовував цю послугу, щоб бачити вдосконалення, вбудовані в браузер, не використовуючи плагін або гідно запускати HTML5, але найголовніше, що раніше, надсилаючи відповідь, вони пропонували вам посилання, щоб ви могли слідкуйте за вашими пропозиціями, чи проблема?, що ви можете підглядати пропозиції інших людей у всьому світі та співпрацювати, щоб побачити додані ці функції або виправити будь-яку помилку, яка більше не трапляється, і я не бачу, куди слід діяти зараз, однак , у службі підтримки Mozilla продовжують рекомендувати використовувати думку Firefox для надання відгуків про помилки, збої, збої, прогалини та звітування про вдосконалення браузера.
Я не погоджуюсь з вашою пропозицією "або ви вводите головний пароль, або ви не зможете користуватися брелками", це те, що ви вимагаєте, щоб компанія примусила користувача так чи так застосувати головний пароль для доступу до використання lockwise, тобто це навіть означає зміну способу роботи Firefox Sync, оскільки якщо ви не встановили головний пароль, Firefox Sync не може завантажувати або оновлювати паролі, управління паролями або їх складність не є безпосередньою відповідальністю компанії, але для кінцевого користувача, який вимагає та споживає продукт, можна зробити так, щоб Mozilla наголосила на важливості після першого запуску Firefox і згодом у використанні Firefox Sync використовувати головний пароль для захист додаткових паролів в умовах, за яких компанія за будь-яку необережність користувача більше не може передати компанію. Розуміється ?.
Привіт, дякую за допис.
Кажу вам більше, принаймні в Linux, покладіть, що вони дозволяють користуватися машиною, тому що вам потрібно підключитися до Інтернету і відкрити хром, ви увійдете у свій акаунт google і ненавмисно поставите синхронізацію облікового запису ... Uff error all паролі завантажуються на цю машину.
Поки там все більш-менш нормально. Ви йдете, виходите з системи, ви також видаляєте обліковий запис синхронізації, відкриваєте Chrome та Zaz, усі ваші паролі та закладки тощо все ще перебувають у цьому сеансі машини.
Гаразд, ви переходите до chrome, advanced, скидаєте chrome до заводських налаштувань і Zas, вони переглядають всю вашу інформацію там.
Ну, видаліть і встановіть Chrome знову ... Ufff всі ваші паролі та інша інформація все ще там.
Єдиним способом, яким мені довелося отримати інформацію з цього сеансу Linux, було вручну увійти в головну сторінку цього сеансу Linux і видалити кожен із файлів chrome.
Жахливо !!!
Дуже хороша стаття, але у Firefox проблема ще більш серйозна. Якщо у вас є головний пароль, а ваш друг хоче переглядати відео кошенят, він не зможе без головного пароля, оскільки він знову і знову просить його для навігації, як це робиться регулярно. Очевидним рішенням буде те, що, не вводячи головний пароль, починається сесія "гостя", наприклад, де ви не можете отримати доступ до налаштувань або входів. Іншими словами, головний пароль продовжує бути корисним лише для власника комп'ютера, на якому запущений Firefox. Ця проблема справді серйозна, не лише на персональному комп’ютері, але також особливо серйозна на комп’ютерних установах. Вітаю ...