вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Keepas-ом не пользуюсь, но бесит что тупой хром не позволяет один раз в настройках указать что не надо запоминать пароли и кредитные карты
Я конечно там всё отключаю каждый раз и чищу в настройках — но на новой тачке оно опять откуда-то всё берётся.
Здравствуйте, _VW_, Вы писали:
_VW>вы разрешаете хрому или firefox'у запоминать пароли?
некоторые.
_VW> и синхронизиуете их?
нет.
_VW>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать.
Все проблемы от жадности и глупости
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>Вопрос к тем, кто пользуется keepass(X):
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Запоминать разрешаю, синхронизацией не пользуюсь, профиль браузера держу в трукрипте.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[2]: Запоминация и синхронизация паролей в браузерах и keepass
_VW>>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
CF>Запоминать разрешаю, синхронизацией не пользуюсь, профиль браузера держу в трукрипте.
Здравствуйте, Stanislaw K, Вы писали:
SK>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать.
сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
а если вам надо с телефона зайти на сайт, на который на десктопе вы залогинены или пароль запомнен, но вы сам пароль не помните, что вы делаете,?
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
CF>Если программа поддерживает хранение профиля в нестандартном месте, то просто указываю путь. Если нет, то прокидываю симлинку.
как программа, в данном случае хром, расшифровывает файлы после того, как трукрипт их зашифрует?
CF>Даже если кто-то получит мой жёсткий диск, сохранённых браузерных паролей он с него не вытащит.
а где пароль от самого трукрипта хранится?
Re[5]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
CF>>Если программа поддерживает хранение профиля в нестандартном месте, то просто указываю путь. Если нет, то прокидываю симлинку. _VW>как программа, в данном случае хром, расшифровывает файлы после того, как трукрипт их зашифрует?
Если шифрованый том не примонтирован — то никак.
CF>>Даже если кто-то получит мой жёсткий диск, сохранённых браузерных паролей он с него не вытащит. _VW>а где пароль от самого трукрипта хранится?
Для параноиков может не храниться нигде, а вводиться каждый раз вручную при монтировании тома. В моём случае монтирование выполняется автостартом при логине, файл с паролем зашифрован EFS-ом (то есть, фактически, паролем от виндового аккаунта). Ну и запись в KeePass, разумеется, на случай слёта EFS или аккаунта.
Здравствуйте, _VW_, Вы писали:
SK>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
_VW>а если вам надо с телефона зайти на сайт, на который на десктопе вы залогинены или пароль запомнен, но вы сам пароль не помните, что вы делаете,?
я не захожу с телефона на сайт. в реальной жизни нет такой необходимости.
Все проблемы от жадности и глупости
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали: _VW>Вопрос к тем, кто пользуется keepass(X):
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их?
Нет. Приложения, работающие на границе доверия, должны хранить минимум конфиденциальной информации.
_VW>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров.
Так и есть.
_VW>Кто ж знает, как они на самом деле запоминаются в браузерах
Сохраненные базы учетных данных шифруются ключом, полученным из мастер-пароля. Сам мастер-пароль при этом, разумеется, не синхронизируется. Хром по умолчанию использует в качестве такого пароля инфу из гугловской учетки, но умеет также использовать и пароль, заданный пользователем. Файрфокс по умолчанию использует пустой мастер-пароль, но он также может быть переопределен пользователем. Поэтому, в обоих браузерах возможно прийти к тому, чтобы инфа уходила на серверы синхронизации в зашифрованном виде, а для шифрования использовался ключ на основе пароля, который не будет известен владельцам этих серверов.
Но в любом случае — вся эта суета с хранением паролей в браузерах — зло (см. первое замечание).
Здравствуйте, _VW_, Вы писали:
_VW>Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Не знаю, как в фаерфоксе, а в хроме: набираете в адресной строке "chrome://settings/password", "показать дополнительные настройки", "Предлагать сохранять пароли для сайтов — настроить"
Там можно посмотреть все запомненные пароли (для этого хром просит ввести пароль к учетной записи Виндоуз, а раньше вообще просто так показывал: сел кто-то за ваш компьютер, пока вы отошли — срисовал все пароли).
И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
Re[2]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, Панда, Вы писали:
П>И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет. Ну или владелец кейлоггера, подхваченного владельцем компьютера.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, _VW_, Вы писали:
SK>>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
SK>заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
браузер можно собрать из сорцов. например, лису или хромиум.
репутация браузера и компании сильно пострает, если кто-то обнаружит, что он действительно вот так тайком отправляет пароли на сервера. поднимется большой кипиш. таким браузером перестанут пользоваться.
наверняка, все уже проверено сообществом и не раз -- что все чисто.
а вы проверяли? он именно зипует и отправляет в зашифрованном виде? или это просто теория?
Здравствуйте, kochetkov.vladimir, Вы писали:
_VW>>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров.
KV>Так и есть.
а если пароль на десктопе сохранен в keypass, а на телефоне вам надо его ввести на этом же сайте, что вы делаете? устанавливаете keepass на телефон и копируете базу паролей keepass на телефон? из сорцов keepass компилируете или с google play готовый apk?
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, CaptainFlint, Вы писали:
CF>Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет. Ну или владелец кейлоггера, подхваченного владельцем компьютера.
На некоторых сайтах есть виртуальная клавиатура для ввода пароля. Правда, я еще не видел чтобы буквы на ней были бы в случайном порядке и менялись после каждого нажатия.
Здравствуйте, _VW_, Вы писали:
SK>>>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>>>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
SK>>заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
_VW>браузер можно собрать из сорцов. например, лису или хромиум.
уже хватит заниматься ананизмом на опенсорс. никто в эти сырцы не заглядывает, а если заглядывает, то не видит ничего.
например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
_VW>а вы проверяли? он именно зипует и отправляет в зашифрованном виде? или это просто теория?
я бы сделал так. нужно быть полным идиотом, чтобы сливать данные в открытом виде.
Здравствуйте, Stanislaw K, Вы писали:
SK>например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
одно дело дыры, другое функции sendUsersPasswordВтихуюЧтобыОнНеЗнал()
SK>я бы сделал так. нужно быть полным идиотом, чтобы сливать данные в открытом виде.
вот именно, что бы.
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, CaptainFlint, Вы писали:
CF>Здравствуйте, Панда, Вы писали:
П>>И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
CF>Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет.
SK>>например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
_VW>одно дело дыры, другое функции sendUsersPasswordВтихуюЧтобыОнНеЗнал()
ок. можешь закрыть глаза и жить в мире волшебных пони.
