Все чаще становится так, что многим расширениям и плагинам браузера требуется доступ ко "всем моим данным" (как в Chrome, так и в Firefox; я не буду комментировать Internet Explorer).
Мне интересно, могут ли эти плагины и надстройки получить доступ к моим банковским данным (например), когда я их посещаю, или получить доступ к данным, отправленным через формы.
Каковы последствия безопасности аддонов?
Этот пост относится только к Firefox и Chromium/Google Chrome. Я не могу комментировать Internet Explorer, Opera или мобильные браузеры. Кроме того, моя математика ниже может быть неправильной, но основная идея верна.
Конечно, это возможно, однако, в случае Firefox и Chrome/Chromium, маловероятно.
Этот ответ один из моих любимых: зависит. Пароли, которые сохраняются браузером, должны соответствовать одному важному и, с точки зрения безопасности, кошмарному условию: они должны быть незашифрованными или обратимыми в незашифрованные.
Почему это плохо? Хорошо, представьте, что кто-то взломал сервер и украл базу паролей. Есть два возможных результата:
Поскольку браузер должен иметь возможность отправлять пароль на веб-сайты, он не может хэшировать пароли, он может только зашифровать их (или даже сохранить их в виде открытого текста). Об этом всегда следует помнить (то же самое касается почтовых клиентов, приложений чата и т.д.).
Firefox по умолчанию позволяет сохранять пароли. Это также шифрует их. То же самое относится и к хрому (см. Приложение «Ну, это зависит ...»). Проблема в том, что ключ для расшифровки также хранится с паролями. Это делает шифрование незначительным неудобством для тех, кто хочет получить ваши пароли и не может их остановить.
Это верно, чтобы сделать пароли более безопасными, нам нужно убрать ключ от зашифрованных паролей. Это делается в Firefox путем установки мастер-пароля, который затем используется для шифрования и дешифрования всех ваших паролей. Используя эту технику, вы отделяете ключ от зашифрованных данных, что всегда является хорошей идеей (в конце концов, вы не держите ключ от входной двери на крюке перед дверью снаружи, верно?).
Итак, почему я сказал ранее, что ваши пароли теперь безопаснее и небезопаснее? Потому что теперь безопасность ваших паролей зависит от выбранного вами пароля. То есть пароль "asdf" никоим образом не должен считаться безопасным; ни один не "12345". Хорошие пароли длинные, потому что их перебор занимает значительное время. Пароль "VioletIsAnotherColor" технически более безопасен, чем "D0!l4riZe "из-за его длины, несмотря на то, что второй содержит специальные символы. Давайте кратко рассмотрим это.
"VioletIsAnotherColor"
Длина: 20
Возможные символы: 52 (26 строчных + 26 прописных)«D0!l4riZe»
Длина: 9
Возможные символы: 77 (26 нижних + 26 верхних + 10 цифр + 15 спец.)
Скидки:«@ $% &/()=?* + # -
Итак, сколько попыток нам нужно взломать эти пароли, зная их набор символов и длину?
"VioletIsAnotherColor"
52 20 = ~ 20 дециллионов (~ 2 × 10 34)«D0!l4riZe»
77 9 = ~ 95 квадриллионов (~ 9 × 10 16)
Как мы видим, последний пароль, несмотря на более широкий набор символов, проще перебор, чем длинный пароль с его ограниченным набором. Это из-за длины. (Еще один плюс в том, что первый легче запомнить.) См. Этот вопрос безопасности IT для деталей по этому вопросу.
Поэтому, если возможно, используйте пароль, а не пароль.
Они не. Это потому, что аддоны имеют доступ к сайту, который вы только что посетили. Они могут извлечь из него информацию, в том числе введенные пароли. Аддоны представляют собой угрозу безопасности, как и любое другое установленное программное обеспечение. Устанавливайте только те дополнения, которым вы доверяете.
Устанавливайте только дополнения из источников, которым вы доверяете. Для Firefox это страница AddOns, а для Chromium это Интернет-магазин Chrome или, если вы доверяете автору / распространителю. Оба гарантируют, что Аддоны проверены и безопасны.
Ни страница надстроек Mozilla, ни Chrome Web Store никоим образом не гарантируют безопасность аддона. Они используют автоматизированные процессы проверки, которые могут или могут поймать вредоносные дополнения. В конце дня все еще остается риск.
Устанавливайте дополнения только из тех источников, которым вы доверяете.
Конечно! Ничто не мешает другому установленному программному обеспечению захватывать ваши пароли из браузера, выполнять атаки типа «человек посередине» или даже обслуживать прокси-сервер, который подделывает ваши банковские сайты. То же самое касается плагинов браузера. Основное правило: не устанавливайте программное обеспечение, которому вы не можете доверять.
Что вы должны от этого отнять?
Как я узнал, мои предположения в этом параграфе не на 100% верны, и я бы хотел это исправить. Следующая информация относится только к хранению паролей на диске.
На самом деле он сохраняет ваши пароли безопасным образом на диске, в зависимости от операционной системы, на которой он работает:
API-интерфейс Microsoft Windows CryptProtectData/CryptUnprotectData используется для шифрования /дешифрования пароля. Этот API работает с паролем вашей учетной записи в ОС, поэтому он безопасен настолько, насколько этот пароль.
Слой для MacOS генерирует случайный ключ на основе пароля цепочки для ключей текущего пользователя и добавляет этот ключ в цепочку для ключей. Опять же, это только так же безопасно, как пароль пользователя.
Ну ... давай не будем об этом.
Хорошо, если вам нужно знать, он делает именно то, что я предполагал: он хранит данные с жестко заданным паролем. Почему это так? Просто потому, что нет общей инфраструктуры для обработки зашифрованных данных таким образом, чтобы две другие системы. Нет, я не просто сказал, что в Linux нет систем шифрования или безопасности; Есть много KeyRing / брелки и хранение паролей решений , доступные в пользовательском пространстве. Как кажется, разработчики Chrome решили не использовать один из них. "Зачем?«это не вопрос, на который я могу ответить.
Всегда использует сгенерированный ключ, который хранится вместе с паролями. Исключением является то, что если вы установите мастер-пароль, он также будет использоваться.
