Уязвимость в Google Chrome позволяет получить неограниченный доступ к паролям пользователей
07 августа, 2013
(Нет голосов)
Теги: уязвимость, Google Chrome, пароль
Руководитель команды разработчиков браузера знает о существовании данной бреши, однако не намерен ее устранять.
В браузере Google Chrome была обнаружена серьезная уязвимость, благодаря которой любой пользователь компьютера может просмотреть пароли владельца ПК: к электронной почте, социальным сетям и пр., непосредственно с панели настроек web-обозревателя. При этом для их просмотра вводить мастер-пароль не нужно.
Для просмотра паролей необходимо нажать на кнопку 'Настройки', зайти в раздел 'Показать дополнительные настройки', а затем - 'Управление сохраненными паролями' в разделе 'Пароли и формы'.
В отдельном диалоговом окне откроется список сохраненных паролей. Примечательно, что вначале пароли скрыты, однако при нажатии на кнопку 'Показать' вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.
Руководитель команды разработчиков web-обозревателя Джастин Шух (Justin Schuh) сообщил, что ему было известно о существовании данной бреши, однако он не планировал ее устранять. Это заявление возмутило Тима Бернерса-Ли (Tim Berners-Lee), изобретателя Всемирной паутины. В своем блоге в Twitter британский ученый написал : 'как заполучить все пароли старшей сестры: и разочаровывающая реакция команды Chrome'.
Эллиотт Кембер (Elliott Kember), обнаруживший брешь, заявил: 'В мире, где Google рекламирует свой браузер на YouTube, в анонсах кино и на билбордах, чистая аудитория обозревателя - это не разработчики, а пользователи. Подавляющее большинство. Они не знают принципа работы. Они не ожидают, что пароли можно просмотреть так легко. Каждый день, миллионы обычных пользователей сохраняют свои пароли в Chrome. Так не должно быть'.
Отметим, что Google Chrome входит в тройку лидеров среди web-обозревателей. Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, однако компании сразу же выпустили исправления.
В блоге Hacker News Шух написал : 'Нас неоднократно спрашивали, почему мы просто не внедрим поддержку мастер-пароля или чего-то в этом роде, даже если мы не верим, что он может работать. Мы обсуждали этот вопрос раз за разом и всегда приходили к выводу, что не хотим предоставлять пользователям чувство ложной безопасности и поощрять рискованное поведение. Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему'.
Несмотря на столь твердую позицию со стороны создателей Chrome, многие ИБ-эксперты очень возмущены подобным поведением. 'Если вы можете просматривать пароли, это значит, что их можно расшифровать. Соответственно, злоумышленники могут разработать троян для похищения этих паролей, не уведомляя об этом пользователей', - возмутился менеджер отдела ИТ-безопасности одного из издательств.
Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему
Мне эта фишка как раз нравится. Много раз, забывая свои пароли, воспользовался хромом 😊
Разумеется, если логин/пароль связан с финансами, личной жизнью, безопасностью, автосохранение не использую.
я вообще-то тоже пользуюсь этой фигнёй, восстанавливая всё избранное после переустановки системы, через gmailовскую почту.
Мда... это же фича, а не бага...
Бредятина... В фырфоксе то же самое есть.
VPetrovа почитать внимательно?
В фырфоксе то же самое есть.
Yep
Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, однако компании сразу же выпустили исправления.
VPetrovПоддерживаю
В фырфоксе то же самое есть.
YepИ? Какие исправления? 0_о
а почитать внимательно?
YepПервые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, однако компании сразу же выпустили исправления.
з.ы. последняя версия огненой лисы и пароло также вижны! НО!! Только для себя, если не отдавать никому свой комп))
Йеп. Я же тебе говорил, што твой ГугльХром гавно полное. Ты не верил.И про пароли и твои клики в нём, которые сохраняюццо на пиндосских серваках...
В FF есть возможность ввести мастер-пароль, которым не пользуются 97% пользователей, а 3% - кайфуют от ложной уверенности в защищенность.
Хром выбрал более честную политику, хотя мог бы добавить эту "защиту от детей".
sedoy zloyя поверил, и скачал по твоей ссылке этот, как его... айрон
Йеп. Я же тебе говорил, што твой ГугльХром гавно полное. Ты не верил.И про пароли и твои клики в нём, которые сохраняюццо на пиндосских серваках...
БГГГ!!! Тебе опять картинко я запощу. Сравнение гугльХрома и Айрона.
ты лучше на пальцах объясни
Чо там обЪяснять? Ясенпень фошысский Айрон лучше, чем ГугльХром. Хотя бы тем, что Хром все твои запросы в любом поисковике(а не полько в Гугле) сохраняет на калифорнийских серверах.
Впрочем и тот и тот - гавно. Памяти жрут - мама не горюй.
То ли дело православная Опера 12.15!
Многие на этот счёт со мной согласяццо.
Кстати вот. Привет из 2009 года.
http://otvet.mail.ru/question/24606630
Жаль правда, что камменты удалил модер.
Срач там с Амельчинкой эпичный вышел. Я тогда ещё на Вындовзе катался, потом уже меня пингвиноиды в луноходы заманили.
А Амельчинка эта - самая неадекватная, в плане общения, но не владения предметом в виде кодерства и др., линуксоидша на всем пространстве Рунета. Была. На СЛОРе жесть какие схватки были. Виндаёбы vs. пеонэры-луноходы.
Пальчики оближешь. Тонны жратвы!!!
Вам всем тогда остается волшебным Tor пользоваться)
Название этой темы явно дает не то представление о теме, исключительно только фантазия ТС 😀
sedoy zloyЯ соглашусь.
То ли дело православная Опера 12.15! Многие на этот счёт со мной согласяццо.
То ли дело православная Опера 12.15!Всё, писец, кончилось православие - недели три назад у меня Опера стала дико тормозить - вплоть до до открывания страницы за 1-2 минуты. Сначала думал что виновны Винда или настройки Оперы и если похимичить всё наладится. Но ничего не помогало. Проверив что на Ог.Лисе серфинг почти моментальный решил поменять Оперу и поставил новую 16-ую. Результат убил - закладок нету(точнее, они где то внутре Ёперы), панелей нету, регулировать многие вещи практически невозможно отрегулировать как раньше. Но зато теперь всё летает, типа...
Кстати, на сайте Оперы предлагается и старая версия, но она так же тормозит как и та что стояла у меня. Опера превратилась в какую то хрень. Вконец обнаглели...
sakstorp
у меня Опера стала дико тормозить
Nein. У меня не тормозит. Это в Ц7, открыто постоянно овердохуя вкладок. Ну так нужно мне...
Да, забыл. Плюс к тому, Опера работает не как чистый браузер, а в песочнице.
Sandboxie Web Browser.
СиКлинер Вам в помошь, виндузятнички...
sedoy zloyРад за Вас, хотя не исключено что всё впереди...Nein. У меня не тормозит. Это в Ц7, открыто постоянно овердохуя вкладок. Ну так нужно мне...
[URL=http://img.allzip.org/g/84/orig/7875088.png][/URL]
Тут выяснил что Опера 16.0 это такая эксперементальная версия перехода на платформу Хрома 😞 Продались, короче, оперники Гуглю, самки собаки, и что теперь делать, даже не знаю, на Лиса переходить, что ли...
sakstorp
хотя не исключено что всё впереди...
Nein. Я на 11.64 сидел ну очень долго, не обновляясь. А уж на 15-16 и т.д. версии переходить нет желания и вовсе...
а я на яндекс браузере сижу. как он вам?
Стрела
как он вам?
Тоже самое, что и Хром. Гавно полное. Яндекс использует перелицованный браузер от Гугла. Абсурд...
прикол!
Стрела
прикол!
Где? Просю поделиццо. Вместе поржём...
шо яндекс, конкурент гугла, взял его же браузер. и молчит гат!
шо яндекс, конкурент гугла, взял его же браузер. и молчит гат!Он не скрывает это. Даже логотип браузера похож, отличается лишь цветом.
но и не говорит!
Уязвимость в Google Chrome позволяет получить неограниченный доступ к паролям пользователейпробовал, вместо пароля показывает "Интересно был"
Yep
Уязвимость в Google Chrome позволяет получить неограниченный доступ к паролям пользователей
07 августа, 2013
(Нет голосов)
ТДля просмотра паролей необходимо нажать на кнопку 'Настройки', зайти в раздел 'Показать дополнительные настройки', а затем - 'Управление сохраненными паролями' в разделе 'Пароли и формы'.
В отдельном диалоговом окне откроется список сохраненных паролей. Примечательно, что вначале пароли скрыты, однако при нажатии на кнопку 'Показать' вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.
[пользователей', - возмутился менеджер отдела ИТ-безопасности одного из издательств.
Только дебил оствляет Вас запомнить, хотя это и удобно.
Ничкго у меня не показывает. Одинииз трёх браузеров
есть такая утилитка - nirlauncher называется, он из многих браузеров может пароли понадергать. Только троло-ло ёпу не понять, что дело не в "дырявом" хроме, а в его ёповской глупой башке.
badydoc
есть такая утилитка - nirlauncher называется, он из многих браузеров может пароли понадергать.
Нормально запускается из профиля? Админские права не нужны?
Нормально запускается из профиля? Админские права не нужны?
Х.з как эта утилита, но в принципе они там и не должны требоваться учитывая где браузеры хранят данные.
HenriЗапускается без инсталяции если вы про это. Про админские права не помню, но скорее нет. Но антивирус на прогу будет ругаться точно.
Нормально запускается из профиля? Админские права не нужны?
badydoc
есть такая утилитка - nirlauncher называется
badydocЯ бы надругался над такой утилиткой 😀
Но антивирус на прогу будет ругаться точно.
На опере UnWand был. Пароли выковыривал.
Вроде на новые версии не сделали ещо
Manowar
Вроде на новые версии не сделали ещо
Новые версии суть есмъ Жромой с иконкой Оперы.
Тупо Мульти Пасс Рекавери. И ваши пассы станут наши...
Интересно ....
sedoy zloyЯ про оперу. Эту поделку новую язык не поворачиваецца оперой назвать
овые версии суть есмъ Жромой с иконкой Оперы
Prost
Интересно ....
Чо интересно то? http://www.passrecovery.com/ru/ - оффсайт
Ищем крякнутую. И не забываем ставить в исключения , а то антивирь зохавает её.
Такие дела, гаспада виндузятнички...
PS Ловите, покуда йа добрый после сытнаГа ужина. http://rutracker.org/forum/viewtopic.php?t=2977994 и http://rutracker.org/forum/viewtopic.php?t=4512441
Manowar
Я про оперу.
И? Хотите сказать, что на 12.16 не работает? А про Opera Pass View чо нифспаминаете? Тоже работает на стопрацентафф.
Касперский
Я бы надругался над такой утилиткой 😀
надо не над утилитой надругиваться, а нерадивых юзеров уму разуму учить 😛 Проблема то вовсе не в инструменте (утилите), а в том как ее использовать. Во благо - забыли пароль на старый ящик, но он забит в авто-логон. Или во зло - слить эти пароли с компа друга 😛
sedoy zloyа причем тут виндузятники интересно? если человек сохраняет пароли в браузере - то он сам себе злобный буратино. А есть еще такие уникумы, кто на комп клеит бумажку, на которой все его пароли записаны, чтоб значит не забыть. Это винда виновата?
Такие дела, гаспада виндузятнички...
badydoc
Это винда виновата?
Ja. И в частности политика самого Мелкософта.
badydoc
если человек сохраняет пароли в браузере - то он сам себе злобный буратино.Браузер сам сохраняет пароли. И юзверь знать не знает об этом. Этакий оффисный планктоша. Или файло типо wand.dat в той же Опере сам пользователь создаёт?
А МРR обращаеццо именно к этому файлу при выковыривании паролей из Оперы.
Мпр и опера пасс виев работают на установленной опере, а если надо выковырять с дохлой системы или чужого компа то нужен унванд и ему просто ванд.дат скормить
sedoy zloyСам? Ничего не спрашивая? Ох уж мне эти сказочники.
Браузер сам сохраняет пароли.
sedoy zloyи да. прошол по сцылке. обещают работу с оперой 11 вкрай.
Ловите, покуда йа добрый после сытнаГа ужина
Manowar
а если надо выковырять с дохлой системы или чужого компа то нужен унванд и ему просто ванд.дат скормить
дайте мне Ваш ванд.дат и я фскрою Ваши пассы.
badydoc
Сам? Ничего не спрашивая? Ох уж мне эти сказочники.
Мозг не надо zu ficken. Или Вы хотите сказать, что необходимо той же Опере задать параметр "сохранять пароль" в файле wand.dat? Или ФурриФокс не сохраняет пароли в key3.db и signons.sqlite даже если Вы отмените сохранение паролей?
Manowar
обещают работу с оперой 11 вкрай.
первый каммент во второй ссылке :
Originally posted by"Valyak":Поставил ещё вчера. Как плюс - стали видно пароли в Опере. Как минус - только пароли введённые за последние пару месяцев максимум. Более ранние не видны. Опера старая, версия 12.16.пост от 17 авг. сего года
sedoy zloyэто верно. Поэтому возьмите чистый дистрибутив оперы, установите ее с нуля и убедитесь, что никто не заставляет вас сохранять пароли, а лишь вежливо спрашивают - желаете ли вы это делать. С остальными браузерами ситуация аналогичная. Никто насильно и без спросу пароли не сохраняет. Так что действительно - не трахайте людям мозги
Мозг не надо zu ficken.
Уважаемый! Вы чо думаете я соглашался раньше с предложением Жоперы сохранить пассы? Вы свой снобизм маздайный при себе оставьте, будьте любезны. Abgemacht? Йепу можете голову ипать.
Мне не надо.
sedoy zloyа мне почем знать соглашались вы там или нет? Вот про себя я знаю, что если в опере не сохранять пароли, то файл wand будет пустым. А следовательно не nirlauncer, ни MPR из него ничего вытянуть не смогут. А если это так? А это ведь так 😛 То кто по вашему виноват в том, что файл wand не пуст? Виндовс?
Вы чо думаете я соглашался раньше с предложением Жоперы сохранить пассы?
sedoy zloyснобизм это у вас. Вы ж высшая каста познавшая просветление через *nix-ы. Вот правда большинство из таких просветленных очень плохо знают винду и ругают ее за зря. Этим вы на ейпа и похожи.
Вы свой снобизм маздайный при себе оставьте, будьте любезны.
badydoc
нобизм это у вас. Вы ж высшая каста познавшая просветление через *nix-ы. Вот правда большинство из таких просветленных очень плохо знают винду и ругают ее за зря. Этим вы на ейпа и похожи.
ОСесрач? Нуевонах...
На опере UnWand был. Пароли выковыривал.
Вроде на новые версии не сделали ещо
Только если в Опере не включен центральный мастер пароль.
И? Хотите сказать, что на 12.16 не работает? А про Opera Pass View чо нифспаминаете? Тоже работает на стопрацентафф.
В случае описанном выше не работает. Фактически, если стоит мастер пароль, ничто не работает, потому что они хранятся в зашифрованном виде.
Если мастер пароль не стоит, Unwand вскрывает все содержимое соответствующего файла Оперы, включая самую последнюю версию 12.16.