アカウント名:
パスワード:
Chromeのパスワードマネージャ機能では、通常パスワードは「●」でマスクされて表示されているが、その脇に表示される「Show」ボタンをクリックすると平文での閲覧ができてしまうという。
うん、そうなんだけど…何か問題があるの? ショルダーハックとかの恐れがあってマスクされているパスワードを画面に表示したくなかったら、当然 Show ボタンを押すべきではない、というだけだと思うんだけど。
また、Mac版のChromeではパスワードの保存にkeychain(OS X標準のパスワードマネージャ)を使わず、Chromeの設定ファイル中にパスワードを保存するにもかかわらずあたかもkeychainを使っているかのように受け取れるメッセージを表示する点についても問題視されている。
こっちはまったく別の問題で、よく知らないのでコメントしない。
keychainで管理しててもchromeインストールするとマスターパスワード不要で簡単にパスワード抜けるよってことじゃないの?未インストールでも離席中にインストールして抜いたり出来そうですけど。
それってマスターパスワード設定しても抜けるってこと?おもいっきり脆弱性じゃないですか。chromeがkeychain使わないのは正解ってことじゃ。
1:chromeがSafariからインポートしたパスワードは、chromeで、chrome://settings/passwordsを表示させるだけで、マスターパスワードなどを入力すること無く表示できる。要するに、Macでchromeが使える状態になっていれば、だれでもパスワード見放題。
2:Mac標準のkeychainを使っているわけではないのに、ダイアログにkeychainの文言があり、誤解される可能性がある。
この2つが問題だということでしょう。どちらもchromeの仕様の問題ですね。
だからマスターパスワード無しで抜けるsafari/keychainが問題なのであって、マスターパスワード無しで抜いたデータをマスターパスワード無しで表示できる事にはさほどの問題はない。っていうか本当にマスターパスワード設定しても抜けるの?単に設定されてなかっただけじゃ?
・Chromeがkeychainにアクセスする際に認証が必要・そもそもChromeがkeychainのsafariアカウントへアクセスできるの?
ってことを考えると、そもそもこの話、importする前段階でなんか手順があると思うんですけどねなんか重要な部分が抜けたまま議論だけ進んでる気がする
もしkeychain/safariから別アプリがマスターパスワードの認証無しに抜ける手段があるならkeychainがザルすぎてAppleどうにかしろよ!って話なんだけど…今更そんなことあるかなぁ
・Safariも独自に平文で保管してる。(それをChromeが引っ張ってきてる)・ユーザが事前にChromeに対してKeychainへのアクセスを許可している。
のどちらかだよねぇ。明示的にKeychainをロックしても抜けるなら前者のSafariの問題かKeychainがザルってことだけど。誰か試してみてよ。うちではChrome動かない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
何が問題なんだ (スコア:2)
うん、そうなんだけど…何か問題があるの? ショルダーハックとかの恐れがあってマスクされているパスワードを画面に表示したくなかったら、当然 Show ボタンを押すべきではない、というだけだと思うんだけど。
こっちはまったく別の問題で、よく知らないのでコメントしない。
Re: (スコア:0)
keychainで管理しててもchromeインストールするとマスターパスワード不要で簡単にパスワード抜けるよってことじゃないの?
未インストールでも離席中にインストールして抜いたり出来そうですけど。
Re: (スコア:0)
それってマスターパスワード設定しても抜けるってこと?
おもいっきり脆弱性じゃないですか。chromeがkeychain使わないのは正解ってことじゃ。
Re: (スコア:0)
1:chromeがSafariからインポートしたパスワードは、chromeで、chrome://settings/passwordsを表示させるだけで、マスターパスワードなどを入力すること無く表示できる。
要するに、Macでchromeが使える状態になっていれば、だれでもパスワード見放題。
2:Mac標準のkeychainを使っているわけではないのに、ダイアログにkeychainの文言があり、誤解される可能性がある。
この2つが問題だということでしょう。
どちらもchromeの仕様の問題ですね。
Re: (スコア:0)
だからマスターパスワード無しで抜けるsafari/keychainが問題なのであって、マスターパスワード無しで抜いたデータをマスターパスワード無しで表示できる事にはさほどの問題はない。
っていうか本当にマスターパスワード設定しても抜けるの?単に設定されてなかっただけじゃ?
Re: (スコア:0)
・Chromeがkeychainにアクセスする際に認証が必要
・そもそもChromeがkeychainのsafariアカウントへアクセスできるの?
ってことを考えると、そもそもこの話、importする前段階でなんか手順があると思うんですけどね
なんか重要な部分が抜けたまま議論だけ進んでる気がする
もしkeychain/safariから別アプリがマスターパスワードの認証無しに抜ける手段があるなら
keychainがザルすぎてAppleどうにかしろよ!って話なんだけど…今更そんなことあるかなぁ
Re:何が問題なんだ (スコア:0)
・Safariも独自に平文で保管してる。(それをChromeが引っ張ってきてる)
・ユーザが事前にChromeに対してKeychainへのアクセスを許可している。
のどちらかだよねぇ。
明示的にKeychainをロックしても抜けるなら前者のSafariの問題かKeychainがザルってことだけど。
誰か試してみてよ。うちではChrome動かない。