LINUX.ORG.RU

Безопасно, ли, использовать в хромиуме аккаунт гугла для синхронизации?

 , ,


1

1

Добрый вечер.

Вопрос собственно в заголовке.

Хромиум говорит что все передаваемые данные шифруются. Интересно, так ли оно на самом деле?

Заимел тут ещё один десктоп-комп и встал вопрос синхронизации Chromium'a между ними. Со всем что он предлагает включая пароли.

Эти пароли, не то чтобы мне важны, всё нужное хранится в keepassx и не сохраняется в браузере. А вот не очень нужные, вроде пароля на этот аккаунт на лоре, — храню прямо в браузере. И есть желание синхронизировать их между компами. И нет желания передавать их гуглу.


Ответ на: комментарий от rezedent12

Нет. Всем что связано с хромом пользоваться не безопасно.

Ну это же не совсем Chrom. Понятно что в этот бинарь вполне добавляются «приправки». Хромиум, то, открыт.

Наверняка кто-то следит за особо опасными вещами (пароли) в коде? Или нет?

anonymous
()
Ответ на: комментарий от emissar

Сейчас набегут параноики и все тебе расскажут.

Послушаю их с удовольствием. Я и сам такой )).

anonymous
()
Ответ на: комментарий от w126

Так чем эе пользоваться? Iceweasel можно?

Удваиваю. Чем?

Не писать же свои самокаты для синхронизации ~/.config/BROWSER.

(И ясное дело что все особо интересные проги пишут корпорации.)

anonymous
()

Безопасно, ли, использовать

Небезопасно. Можно забеременеть, здоровье брата, опять же, не гарантируется, да и Путин будет читать, всё что ты пишешь.

Alve ★★★★★
()
Ответ на: комментарий от rezedent12

Всем что связано с хромом пользоваться не безопасно.

4.2 Chromium != Chrome
Subj://У меня нет действующего google аккаунта

comp00 ★★★★
()
Ответ на: комментарий от Extraterrestrial

Спасибо.

Я там побывал сразу, после вашего сообщения, т.к. к своему стыду не знал про него раньше, но ткнул не подумав в «даунлоад» и попал на скачку Яндекс браузера. То, что это Яндекс я не понял, а к счастью для Дебиана его пока нет)))

Скачал, все поставилось, спасибо.

w126
()
Ответ на: комментарий от w126

Скачал, все поставилось, спасибо.

И в чём смысл?

Теперь ты будешь не под гуглом а под айроном.

Тобой двигают рекламные слова вроде «мы молодцы, мы выпилили…, гугл больше не сможет следить». А кто проверял? Этот айрон существует уже очень долго, но в дебе его нет и не было никогда даже в экспериментале (и наверняка не будет).

Я тоже так могу побыть болгеносом — скачать хромиум, впилить туда свой зонд и орать что я всё ненужное выпилил.

Работу именно этой поделки (iron), никто даже не подумает взяться проверять. Ибо она вообще ненужна при наличии хромиума с открытыми исходниками.

anonymous
()
Ответ на: комментарий от anonymous

Наверняка кто-то следит за особо опасными вещами (пароли) в коде?

ну тут, на ЛОРе, много специалистов...как только выходит новая версия - сразу начинается аудит кода

BambarbiyaKirgudu
()
Ответ на: комментарий от anonymous

…Теперь ты будешь не под гуглом а под айроном.…

Нет. Теперь ты будешь И под гуглом И под айроном.

anonymous
()
Ответ на: комментарий от BambarbiyaKirgudu

ну тут, на ЛОРе, много специалистов...как только выходит новая версия - сразу начинается аудит кода

Где смайлик?

Может есть 'не-на-лоре' проверяльщики? Я по инглишу почти ничего не понимаю, поэтому не могу нормально 'прояхуить' этот вопрос.

anonymous
()

Хромиум говорит что все передаваемые данные шифруются. Интересно, так ли оно на самом деле

Синхронизует через SSL-соединения с серверами talks.google.com, xtalks.google.com и т.д.. Если опустить недоверие к прогнувшимся перед властями CA и корпорациям, сливающим данные, то все надежно.

Но синхронизация чего-либо в браузере не имеет большой ценности.

Синхронизируя пароли, ты упрощаешь задачу людям, которые организовали гастроли Сноудена.

Закладки можно импортировать/экспортировать.

Настройки и прочую лабуду, можно синхронизовать распаковывая .config/chromium однажды настроенного браузера:

tar xf chromium.tar.gz

Автокомплит и автофилл, а также коррекция адреса - не нужно.

trupiko
()
Ответ на: комментарий от comp00

Да, но с предметом обсуждения они никак не связаны.

rezedent12 ☆☆☆
()

Хромиум говорит что все передаваемые данные шифруются. Интересно, так ли оно на самом деле?

данные могут шифроваться при передаче, а на том конце восстанавливаться, а могут шифровать локально. Но если они шифруются локально каким-либо ключом, то как ключ попадёт на второй твой компьютер? Попадает как-то на второй? Ну раз так, то на комп Пу тоже _может_ попасть. Вывод: шифрование НЕ безопасно.

(в принципе, я может и ошибаюсь, если второй комп зашлёт ключ на гугл(*), а с гугла ключ зашлётся на первый комп, то теоретически файл будет зашифрован так, что гугл его не сможет расшифровать. Однако, в момент времени (*), гугл может не только передать ключ, но и его сохранить. Это даст возможность гуглу атаковать твои данные путём подмены)

drBatty ★★
()
Ответ на: комментарий от trupiko

Синхронизует через SSL-соединения с серверами talks.google.com, xtalks.google.com и т.д.. Если опустить недоверие к прогнувшимся перед властями CA и корпорациям, сливающим данные, то все надежно.

чего у тебя там «надёжно», если SSL обеспечивает исключительно надёжную _связь_? А на том конце, в гугле, инфа будет в открытом виде. Да и то лишь при условии того, что CA не скоррумпирован(иначе инфа и по дороге будет открыта все желающим).

drBatty ★★
()
Ответ на: комментарий от drBatty

Я тупой, или ты только что действительно повторил мой комментарий только другими словами? Тогда почему ты это сделал в форме возражения?

ТС спрашивал про шифрование, я ответил - да шифруется, от провайдеров и админов, снупающих твой трафик защитит.

А ну да... я не дочитал про «нет желания передавать их гуглу», это вы уж сами в исходниках копайтесь. Я вообще не программист, а социолог.

trupiko
()

Если не делаете ничего противозаконного, заведите акк на Google. Иначе покупайте хостинг, установите на него Google Apps, заведите там почту и пользуйтесь для синхронизации ею.

alix ★★★★
()

есть желание синхронизировать их между компами
нет желания передавать их гуглу.

ты реально думаешь что твой пароль от ЛОРа нужен кому-то в гугле?
и да, пароли в голове хранить уже не кошерно?

q11q11 ★★★★★
()
Ответ на: комментарий от Extraterrestrial

Используй Iron. Тот же хромиум, только без шпионских приблуд гугла.

педивикия: While Iron does not provide extra privacy compared to Chromium after proper settings are altered in the latter, it does implement some additional features that distinguish it from Google Chrome, such as built-in ad blocking.
Iron does not provide extra privacy compared to Chromium after proper settings are altered

бгг, ну фейспалм-же

q11q11 ★★★★★
()

встал вопрос синхронизации Chromium'a
нет желания передавать их гуглу.

/0

anonymous
()

Безопасно, ли, использовать в хромиуме аккаунт гугла для синхронизации?

Время покажет.

Deleted
()
Ответ на: комментарий от trupiko

А ну да... я не дочитал про «нет желания передавать их гуглу», это вы уж сами в исходниках копайтесь. Я вообще не программист, а социолог.

а я предпочитаю юзать firefox. Оно как-то привычнее.

Хром(иум) ест память, а FF сейчас более устойчив. ИМХО последний FF более годный браузер по всем показателям(на сегодня).

drBatty ★★
()
Ответ на: комментарий от alix

Если не делаете ничего противозаконного, заведите акк на Google.

дело не в противозаконности. Все люди всегда и везде оставляют следы. В Этой Стране _любой_ след может быть использован против вас, ИЧСХ не только органами. Вот простой сценарий: вы ищете игрушку детям, попадаете на сайт (специальным образом подогнанный сайт педофилов), и оттуда вас перенаправляют уже на настоящий педофильский сайт. Ну и что? Да ничего, данный материал УЖЕ можно использовать против вас, как «посмотрите, куда данный username ходит!». Вы сможете от этого отмыться? А оно вам надо?

Иначе покупайте хостинг, установите на него Google Apps, заведите там почту и пользуйтесь для синхронизации ею.

я не очень понял, как Google Apps убережёт от преследования по Закону? Ради интереса зашёл в свой гуглодиск, и с разочарованием прочитал прежнюю надпись: «Не поддерживает Linux (пока)». Вы предлагаете купить хостинг на iMac? Да и сомневаюсь, что поддержка гуглодиска будет сделана(если будет) как-то иначе, нежели как закрытая НЁХ, которая будет невозбранно шариться по всему моему HDD в поисках нужной её информации, которую и будет отправлять в Центр, на анализы. И это НЕ паранойя. Поиск в ВАШИХ документах УЖЕ декларирован, и очевидно работает(что доказывает, что данные в хранилище лежат в открытом виде, и постоянно индексируются). А вот вопрос о том, КТО получает доступ к этому сервису до сих пор не ясен.

drBatty ★★
()
Ответ на: комментарий от q11q11

ты реально думаешь что твой пароль от ЛОРа нужен кому-то в гугле?

а почему — нет? Даже с моим двухзвёздным паролем можно попасть в закрытые для гуглоботов страницы ЛОРа, что очевидно будет полезно для индексации.

и да, пароли в голове хранить уже не кошерно?

давно уже не кошерно. Пароли должны быть РАЗНЫМИ, это тебе любой школьник скажет. А запомнить хотя-бы 3 десятка паролей более стойких, чем «123» достаточно проблематично. Голова вообще-то для другого предназначена, что-бы думать, а не пароли хранить.

drBatty ★★
()
Ответ на: комментарий от q11q11

Iron does not provide extra privacy compared to Chromium after proper settings are altered

бгг, ну фейспалм-же

видимо идёт речь о некоторых галках в настройках хромиума, которые чего-то куда-то отправляют. В iron'е они очевидно установлены так, что он ничего(лишнего) никуда не отправляет. Я это так понимаю.

drBatty ★★
()
Ответ на: комментарий от anonymous

встал вопрос синхронизации Chromium'a нет желания передавать их гуглу.

/0

ИМХО браузер и не должен передавать свои настройки гуглу. И теоретически он может зашифровать их локально для другого браузера. Т.ч. это имеет смысл(хотя непонятно, зачем это надо гуглу, который имеет няшное облако с индексацией ВСЕГО?)

drBatty ★★
()
Ответ на: комментарий от Deleted

Безопасно, ли, использовать в хромиуме аккаунт гугла для синхронизации?

Время покажет.

ты уверен, что нам про это расскажут?

drBatty ★★
()
Ответ на: комментарий от drBatty

Вообще, нет. Но на фоне всех этих событий с АНБ, даже хз. Хотя это скорей исключительная ситуация.

Deleted
()
Ответ на: комментарий от Deleted

вангую, что первое время они будут просто аккумулировать аккаунты и данные. А потом начнут продавать доступ.

Основная проблема облаков в том, ИМХО, что в облаке невозможно удаление. Если случайно туда кинул не тот файл, обратно его уже не выдернешь. Единственное известное мне решение — шифровать данные ДО отправки в облако(ключ всегда можно отозвать и уничтожить), вот только проблема в том, что гугл на это не пойдёт, ибо гугл==поиск.

drBatty ★★
()
Ответ на: комментарий от drBatty

я не очень понял, как Google Apps убережёт от преследования по Закону?

От преследования не убережет. Просто Ваши данные не попадут в Гугл, а только хостеру.

alix ★★★★
()
Ответ на: комментарий от Deleted

Ни когда не нравились облака, они не нужны.

Таки нужны. За облаками будущее. Однако:

1. облака можно использовать лишь для хранения локально зашифрованной информации, в этом случае администратор(пользователь) компьютера не теряет контроль над своей информацией, а администратор облака — теряет. Но такой вариант видимо не устраивает google. (впрочем, yandex пока работает. Есть и другие халявные сервисы).

2. облака можно свои сделать. Но это дорого: облако должно быть распределённым, в т.ч. и географически. Подойдёт разве что для какого-нибудь сбербанка, с кучей отделений. Смысла от облака в одном ВЦ мало, это и не облако вовсе ИМХО.

3. облако может находится на чужих серверах(в т.ч. и клиентских), а в качестве гарантов истинности, каждый узел может самостоятельно выбирать случайные узлы. Такое облако можно принять за надёжное и защищённое хранилище, если конечно узлов достаточно много, и они хорошо разбросаны по Миру. Кроме того, клиент должен быть OpenSource, ибо иначе, «хозяин» облака (автор клиента), может забрать всё облако себе, с первым же апдейтом. И клиенты об этом ничего не узнают. Такое общее облако пыталась сделать wuala.com, но затея провалилась (клиент вроде как был почти открытый, а сейчас как-то про открытость убрали всё. Не нужно). Как прототип идеи можно упомянуть Kademlia, но с т.з. доступа — это просто большая помойка, хоть и с эффективным поиском по имени. К тому-же оно сильно устарело (лет так на 10), и не обеспечивает обычных в 2013ом скоростей.

Нужен SecurityNet.

это что именно? Их много развелось в последнее время. Security оно модное сейчас.

drBatty ★★
()
Ответ на: комментарий от drBatty

Я вообще считаю, что все должно храниться на десктопе. Если уже сейчас объем исчисляется терабайтами, то проблем в этом не вижу.

А облака - это для кинца, музыки, игор и т.д.

Документы - по всяким выделенным зашифрованым каналам и т.д.

Deleted
()
Ответ на: комментарий от drBatty

3 десятка паролей

ну ты и параноик :)

Пароли должны быть РАЗНЫМИ

само собой, и мне как-то хватает головы чтоб помнить 5-7 РАЗНЫХ паролей из pwgen

Голова что-бы думать, а не пароли хранить.

я не против, но что ты будешь делать если твоя конструкция хранения паролей сломается?

q11q11 ★★★★★
()
Ответ на: комментарий от drBatty

что он ничего(лишнего) никуда не отправляет

так и есть, но зачем ради этого лепить ещё один браузер

q11q11 ★★★★★
()
Ответ на: комментарий от Deleted

Я вообще считаю, что все должно храниться на десктопе. Если уже сейчас объем исчисляется терабайтами, то проблем в этом не вижу.

дело не в терабайтах, а в 100% надёжных носителях. Пока таких нет, и не предвидится. Потому где-то нужно хранить свой _уникальный_ контент, фоточки например. Такого контекста немного, но он есть у всех.

А облака - это для кинца, музыки, игор и т.д.

я их нигде не храню. Надо будет — скачаю ещё раз.

drBatty ★★
()
Ответ на: комментарий от q11q11

3 десятка паролей

ну ты и параноик :)

скорее — раздолбай.

Пароли должны быть РАЗНЫМИ

само собой, и мне как-то хватает головы чтоб помнить 5-7 РАЗНЫХ паролей из pwgen

жуть какая…

я не против, но что ты будешь делать если твоя конструкция хранения паролей сломается?

есть файлик со всеми паролями(ну со многими точнее), зашифрованный GnuPG. Есть бекап этого файла в облаках и на флешках (а ещё на других системах).

drBatty ★★
()
Ответ на: комментарий от alix

Я только предложил

дык предлрожение неправильное: документы будут хранится на гугло-облаке, а не на вашем хостинге. Смысл? Разве что привлечь за CP будет сложнее, ибо органам нужно будет вычислять владельца хостинга.

drBatty ★★
()
Ответ на: комментарий от tazhate

Я использую. Брат жив.

пароли можно хранить и в простом html-файле на tazhate.narod.ru, и что? Защита, свойственная неуловимому Джо подходит не всем.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.