С помощью уязвимости в Google Chrome можно получить полный доступ к паролям пользователей

В браузере Google Chrome была выявлена серьезная уязвимость, с помощью которой любой пользователь компьютера имеет возможность просмотреть пароли владельца ПК: к электронной почте, соцсетям и другим данным, непосредственно с панели настроек web-обозревателя. Для этого вводить мастер-пароль не нужно.

Для того чтобы увидеть пароли, необходимо нажать на кнопку «Настройки», перейти в раздел «Показать дополнительные настройки», а затем в разделе «Пароли и формы» – «Управление сохраненными паролями».

В отдельном диалоговом окне появится список сохраненных паролей. Интересно, что сначала пароли скрыты, но после нажатия кнопки  «Показать» вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.

Руководитель команды разработчиков браузера Джастин Шух сообщил, что он знал о существовании данной бреши, но он не планировал ее устранять. Это возмутило Тима Бернерса-Ли, изобретателя Всемирной паутины, и в своем блоге в Twitter ученый написал: «как заполучить все пароли старшей сестры… и разочаровывающая реакция команды Chrome».

Эллиотт Кембер - человек, нашедший брешь, заявил: «В мире, где Google рекламирует свой браузер на YouTube, в анонсах кино и на билбордах, чистая аудитория обозревателя – это не разработчики, а пользователи. Подавляющее большинство. Они не знают принципа работы. Они не ожидают, что пароли можно просмотреть так легко. Каждый день миллионы обычных пользователей сохраняют свои пароли в Chrome. Так не должно быть».

Google Chrome входит в тройку лидеров среди web-обозревателей. Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, но компании сразу же выпустили исправления.

 «Нас неоднократно спрашивали, почему мы просто не внедрим поддержку мастер-пароля или чего-то в этом роде, даже если мы не верим, что он может работать. Мы обсуждали этот вопрос, раз за разом и всегда приходили к выводу, что не хотим предоставлять пользователям чувство ложной безопасности и поощрять рискованное поведение. Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему» - написал Шух  в блоге Hacker News.

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя VladB

Вообще-то достать пароли из любого браузера всегда было не сложной задачей. Другое дело что для этого требовалось ПО третьих производителей. Ну а Google решил проблему кардинально. Просто показав все сразу :)

Аватар пользователя mike

Вот поэтому я обычно не сохраняю пароли в браузере, за некоторыми исключениями, например, для "Вестей". Зарегился -- логин и пароль заношу в скрытый шифрованный файл. Копию держу в облаке.

Аватар пользователя Piton

Лично я некоторое время назад перешел на использование сервиса LastPass - и очень доволен. У него есть расширения для всех браузеров. Он сам автозаполняет форму логина/пароля. Кроме того, у него есть и веб-интерфейс, так что можно зайти и посмотреть пароль с любого "чужого" компа. Весьма удобно.

Аватар пользователя mike

перешел на использование сервиса LastPass

Но для владельцев сервиса ваша инфа ИМХО не секрет. И ХЗ, кто этот сервис создал...

Аватар пользователя Piton

Но для владельцев сервиса ваша инфа ИМХО не секрет.

Меня это не беспокоит. Важные пароли - к интернет-банкингу, к вебманям, к основной почте - я держу в голове, а если кто-то подсмотрит мой пароль к какому-нибудь торрент-трекеру или форуму - флаг ему в руки.

Ну и чем это лучше десктопного софта для пассвордов? Много вы в трекеры с чужого компьютера заходите?

Аватар пользователя Piton

Ну и чем это лучше десктопного софта для пассвордов?

Лучше тем, что нет привязки к компу.

Пример 1. Пришел я в гости к другу, а пока он нарезает закусь :) - я зашел на этот форум почитать/написать комменты. При этом мне не надо таскать с собой флэшку с паролями, не надо инсталлировать/запускать софт на чужом компе, не надо вспоминать пароль (и даже логин) от учетной записи на форуме - достаточно сходить на сайт LastPass за паролем.

Пример 2. Лежу с планшетом на диване. Понадобилось посмотреть, есть ли на трекере определенная раздача. Не надо отрывать задницу от дивана и идти к компу - опять же идем на LastPass.

Пример 3. Иногда мне приходится запускать на своем компе Убунту. Чтобы куда-то зайти, не надо перегружаться в Винду, просто устанавливаю в Огнелисе для Убунту плагин LastPass'а - и все пароли у меня под рукой.

Т.е. это похоже на хранение файлика в облаке, как у mike, но LastPass специально заточен под хранение именно паролей, следовательно, удобнее.

Аватар пользователя Korsar

Piton пишет:

Лично я некоторое время назад перешел на использование сервиса LastPass - и очень доволен. У него есть расширения для всех браузеров. Он сам автозаполняет форму логина/пароля. Кроме того, у него есть и веб-интерфейс, так что можно зайти и посмотреть пароль с любого "чужого" компа. Весьма удобно.

Сударь, вы тут расписались в том, что самостоятельно отдали "дяде" из LastPass свои пароли )))

Аватар пользователя Piton

Korsar пишет:

Сударь, вы тут расписались в том, что самостоятельно отдали "дяде" из LastPass свои пароли )))

И что дальше? Как это повлияло на мою жизнь?

Piton пишет:

Korsar пишет:

Сударь, вы тут расписались в том, что самостоятельно отдали "дяде" из LastPass свои пароли )))

И что дальше? Как это повлияло на мою жизнь?


Рано или поздно LastPass  сливает Викиликс все пароли. Наверное.

Страницы