Незашифрованные пароли в Chrome: так задумано изначально

Не надо этой фичи вообще в браузере. Пусть тренируют все память тогда.

Тогда у гораздо большего числа людей будут пароли вида «123456».

Не надо этой фичи вообще в браузере.

Тебе не надо — не пользуйся. А я пользуюсь (не в хроме, правда), мне удобно. Как верно заметил r, если кто-то злонамеренный получит доступ к моей домашней директории, то украденные пароли будут наименьшей из моих проблем.

Открытые пассы, для удобства и при этом без грамотной системы защиты всего этого - уже дыра по себе.

В данном случае она вполне грамотная: не вызывает ложного чувства безопасности.

Полностью согласен с ним. Если троян уже проник на компьютер нет смысла защищаться. Надо не дать ему проникнуть.

Физический доступ никто не отменял. Даже NSA рассматривает ее как потенциальную дыру.

Если у людей серьёзные отношения, то они должны доверять друг-другу, нет? Нормальный парень сам скажет все пароли своей девушке (и наоборот) и будет уверен, что ничего плохого не случится. А если девушка только и мечтает, как увести страницу вконтактке своего парня, то нафиг такую девушку.

Chromium+Kwallet. [/thread]

Люди бывают разные
/thread

Люди, которые хотят увести твою страницу вконтакте, не могут являться друзьями. А раз так, то их не стоит пускать без присмотра за свой личный компьютер.

не могут являться друзьями

Ты телепат чтоли? Никогда не видел ревнивых?

Ну как бы изменять девушке/жене не хорошо.

Т.е. проблема ОС-специфична и всетаки имеет способы решения. Но гуглу это не надо, вот и весь вывод.

То есть хром в оффтопике добровольно сдаёт все привилегии и переходит в LowIntegrity (в линуксах аналога такого ещё не придумали, это как профиль SELinux с запретом практически на всё и практически полным запретом на IPC наружу). Это — одна из ступеней настоящей защиты. А то, что в топике — бред.

Это — одна из ступеней настоящей защиты.

Чего так все верят в наивность того, что их не покакают через физический доступ? Ноут потерял - хром дал все пассы. Что, история с потолка?

Что, история с потолка?

Шифруй домашнюю директорию. Браузер не должен заниматься тем, чем следует заниматься ОС.

Хром? В открытом виде? Не смешите мои тапочки, в кошельке полный трешак от хрома.

Ноут потерял - хром дал все пассы.

На ноуте не зашифрован хомяк? Очень осмотрительно.

Неломаемых систем не существует. Взлом - вопрос времени. Хром это время сокращает до нуля.

А доступ к аккануту злоумышленник получит с помощью божественной силы?

Слушай, это не так уж и страшно — я недавно привязал номер к домру, так сразу начал валиться смс-спам, по 2-3 раза в день. Позвонил в билайн, отключил все, кроме ихней гребаной лотереи (которая так и так раз в 2 недели приходит), и все — никто не беспокоит.

Кулстори :) Вообще я не об этом. Те кто доверяет мегакорпорациям - отдают им всю инфу о себе. Вот и вся проверка. Это личное дело каждого, как я говорил. Пусть такие люди пользуются хромом, пусть думают, что их мегапровайдер рекламы защитит, думают, что о них заботятся и желают только добра. Пусть будет так.

Ну и где там прямым текстом? http://habrahabr.ru/post/134982/

1. Это для винды.
2. Как обстоит дело в линуксе?
3. Насколько данная защита стойкая?

Спасибо за линк.

В линуксе такой же файл Login Data. Только аналога chromepass.exe я не нашёл :-(

Плохой дядя может сдампить все ваши кукисы, скачать историю, установить шпионские расширения, или установить в ОС ПО для слежки.

Если у него будут время, желание и знания для этого.
Мастер-пароль не панацея, но спасёт в случаях «кто-то излишне любопытный получил доступ к компьютеру на десять минут» и «я потерял ноутбук».
То, что это не защитит от серьезной атаки ещё не значит, что это совсем не нужно.

Это олд скул. Когда-то там они были

Это ты наверное с passwd перепутал. Но он их тоже не хранил. Хэш пароля - не пароль.

Ну все, ты типа этим поднял свой уровень доминирования! Может есть конструктивная критика, а?

Ты написал какой-то полный хаос, мол программы под рутом запускать и работать только с рутовыми файлами. С чего это вдруг чем ближе к нулю тем безопаснее?

Безопясность это не чем ближе к ядру.

ЯННП.

Если тело вломилось к тебе на хост - то хоть шифрованые твои ключи хоть не шифрованные в бровзере - их уже утянули. Твой мастер пароль узнается через проинсталирвоанный в бровзер плугин. А можно просто натравить соотетвествующий софт подбора паролей.

О чем тип из гугла и говорит.

Если вопрос в реальной безопасности паролей на локалхосте - то нужна серьезная централизованная инфраструктура безопасности. Но и ее обеспечить довольно трудно учитывая что сама постановка задачи такая что пароль в открытом виде должен путешествовать внутри пользовательской сессиии внутри бравзера при вводе на сайт. Поэтому все что нужно хакеру - это принсталить тебе соответствующий плугин. Дело же не только в открытости паролей. А вся инфраструткура приватных ключей и т.д.

Короче защищай хост, а не файлы на хосте. А если надо защищаться от других юзерв хоста - то chmod og-rwx обеспечит тебе защиту а-ля шадов.

Гонево. Fedora 19 по дефолту хранит их именно в /etc/shadow

Ты разницу между хешом и паролем понимаешь?

Хэш пароля - не пароль.

Вот ZenitarChampion скинул инфу, что хром хранит пароли в виде хэша. Аналогичная ситуация.

С чего это вдруг чем ближе к нулю тем безопаснее?

С того, чтобы утянуть /etc/shadow надо сделать local root exploit прежде всего. А в случае с браузером это даже не требуется.

Твой мастер пароль узнается через проинсталирвоанный в бровзер плугин

Линк на плугин или хотя бы описание того, что он делает.

Короче защищай хост, а не файлы на хосте.

Еще раз: невзламываемых систем не существует. А пароль из 100 символов в twofish ты затрахаешься ломать. Но через н-лет сломаешь и его. Только этот момент является ключевым: найти другую жертву сейчас и побыстрее или нет (потеряв месяцы-годы). Пассы забирают не только у «целевых» лиц, но и у всех подряд, у кого плохо лежит.

Вот ZenitarChampion скинул инфу, что хром хранит пароли в виде хэша.

Хром не может хранить пароли в виде хэша - ему их восстанавливать надо.

Аналогичная ситуация.

Лицоладонь.

А в случае с браузером это даже не требуется.

А что ты уже придумал механизм давать доступ к вещи к которой надо получить доступ не имея соответствующих привелегий?

Линк на плугин или хотя бы описание того, что он делает.

Он читает что ты там ввел для доступа в хранилище.

А пароль из 100 символов

Ну да ну да. А чего бы не RSA512 на память сразу....

ты затрахаешься ломать.

Его не надо ломать. Если хакер был на твоем хосте - у тебя уже скомпрометированная система. Что ты там запускаешь уже не твое.

Сплошная демагогия. Закончим на этом.

Неломаемых систем не существует.

Ну так вперед, ломай AES шифрование моего хомячка.

Ты тут сам писал типа выбор между безопасностью и удобством, так вот мастер-пароли это уже неудобно, и ещё не безопасно. Те кому нужна безопасность юзают виртуалки, шифрованные контейнеры и отдельные браузеры.

Те кто надеются, что гугл будет защищать их данные на их же компе это наивные дурачки.

PS: И все конечно ещё хуже в том случае, когда «защита» непрозрачна для пользователя как во всякой проприетарщине типа оперы.

Ну так вперед, ломай AES шифрование моего хомячка.

Не занимался таким. Но думаю, я сначала бы пробрутфорсил вход в систему (хз какие там подводные камни). Тогда, твой AES тебя не спасет.

Те кому нужна безопасность юзают виртуалки, шифрованные контейнеры и отдельные браузеры.

Ну так Рутковская не зря пилит свои кубы :)

Не занимался таким. Но думаю, я сначала бы пробрутфорсил вход в систему (хз какие там подводные камни). Тогда, твой AES тебя не спасет.

Ну так брутфорсь, за пару десятков лет набрутфорсишь.

Ну так Рутковская не зря пилит свои кубы :)

Не зря, только это не защита от физического доступа. Но в отличии от мастер-паролей это дает определенный уровень безопасности.