Consider the case of someone malicious getting access to your account. Said bad guy can dump all your session cookies, grab your history, install malicious extension to intercept all your browsing activity, or install OS user account level monitoring software. My point is that once the bad guy got access to your account the game was lost, because there are just too many vectors for him to get what he wants.
何が問題なんだ (スコア:2)
うん、そうなんだけど…何か問題があるの? ショルダーハックとかの恐れがあってマスクされているパスワードを画面に表示したくなかったら、当然 Show ボタンを押すべきではない、というだけだと思うんだけど。
こっちはまったく別の問題で、よく知らないのでコメントしない。
Re: (スコア:3, 参考になる)
つまり、こういうことでしょ。
・[Chromeのパスワードマネージャー]はマスターパスワードを設定できない
・[keychain]はマスターパスワードを設定できる
だから、[keychain]がロックされていない状態でChromeをインストールすると、Chromeがパスワードを取り込み、しかも、それがマスターパスワードで保護されない、という状況になる。
その後、[keychain]をロックして安心して離席すると、[Chromeのパスワードマネージャー]からは(視覚的に)各種のパスワードが盗まれうる。Chromeはその点を警告しないばかりか、別の個所ではまるで[keychain]で保護されているかのようにメッセージを出す。
言いたいことは分かったけど、この記事を読んだだけでは分からなかった。奥村先生のtweetも何のことかわからない。私は、MacもChromeも使っていないんで、当初はChromeの振る舞いの何が問題なのか全く理解できなかった。
Re: (スコア:1)
自己レスだけど、Chrome側から反論が来ている。
https://news.ycombinator.com/item?id=6166731 [ycombinator.com]
つまり、マル
Re: (スコア:1)
言いたいことはわかる。確かにマルウェアを仕掛けられたら終わりかもしれない。でもそうじゃないかもしれない。
そういう意味では、「keychain]でマスターパスワードを設定しておけば、それを盗む手段がない」と誤解させる分、keychainや他のマスターパスワードは罪深い、と言える。
これは言い過ぎだと思うんだよな。これ言い出すと、普通のwebのパスワードも、例え暗記していても、マルウェアを仕掛けられた時点で漏洩し、他人がログイン出来る可能性があるわけだが、それをして「webのパスワードは他人が使えないと誤解させるから罪深い」とは言わないと思うんだよな。
マルウェアを仕掛けるハード
Re:何が問題なんだ (スコア:0)
システマティックに論じるのを「論理的なセキュリティ」とすれば、いわば「心理的なセキュリティ」ってところですかね。
世の中の、フィッシングなどに代表される、マズい漏洩の仕方は、「心理的なセキュリティ」の裏側をついてくるものばかりです。つまり、そういうことを仕掛けてくる人にとって、「心理的なセキュリティ」はないも同然です。だから、「多層防御されている」や「マスターパスワードの突破にはある程度時間がかかるはず」という意識そのものが問題だと思います。
「特権」という概念は、むしろ、安全性を簡単に判断するために考え出されたものです。その特権で保障されていないことを期待するのは、コンピューターの神様のような知識がある人でも、やっぱり難しいと思いますよ。マルウェアに限らず、方法はいくらでもあって、組み合わせもいっぱいあるわけですから、予想外の方法で簡単にできたりしたときに困ります。
「普通のウェブパスワード」でも、それがあるから他人にPCを触らせて良い、と誤解させるものなら、やっぱりない方がいいと思います。でもウェブ上のパスワードは、違うパソコンからアクセスしてくる人を対象にしているわけだから、そんな前提自体が成り立たないのではないでしょうか。
「○○のアカウントとパスワードを暗記していて俺の頭の中にしかないから、俺のPCは友人に貸しても大丈夫だ」と考える人がいれば、確かに大問題です。でも、その人が問題を起こすのは、もはや、誰にもどうしようもありません。友人のモラルに期待するだけです。
他人のPCのパスワードマネージャーを起動するのは、既に十分罪深い行動です。Chromeのパスワードマネージャーを起動するとどうなるか知っている人なら、なおさらです。出来心の犯行ができる状態は、既に負けているわけですから、そこに至る前に何らかの行動をとらなければいけません。そういう「出来心の犯行ができる状態」を想定してしまう人は、既に、マスターパスワードの毒に十分浸っている、ということでしょうね。悪いやつだ。