| 7 августа 2013 г. — 4:56 по тихоокеанскому времени
Изображение: thehayden.org
The Guardian сообщает, что уязвимость в Chrome позволяет любому, кто имеет доступ к компьютеру, просматривать все сохраненные логины без какой-либо аутентификации.
Серьезная уязвимость в безопасности браузера Google Chrome позволяет любому, кто имеет доступ к компьютеру пользователя, просматривать все пароли, сохраненные для электронной почты, социальных сетей и других сайтов, непосредственно из панели настроек. Для их просмотра не требуется пароль.
Помимо личных аккаунтов, конфиденциальные данные для входа в компанию будут скомпрометированы, если пользователь Chrome оставит свой компьютер без присмотра с активным экраном.
Доступ к паролям осуществляется путем нажатия на значок меню (вверху справа), выбора Настройки, нажатия Показать дополнительные настройки в нижней части экрана, а затем, в разделе Пароли и формы, нажатия Управление сохраненными паролями. Пароли изначально скрыты, но нажатие на скрытый пароль отображает кнопку Показать, которая затем раскрывает пароль в виде обычного текста.
Мы только что попробовали это, и это работает. Как ни странно, команда разработчиков Google Chrome, Джастин Шу, утверждает, что Google осведомлен об этой уязвимости, но не планирует ее исправлять. Изобретатель всемирной паутины Тим Бернерс-Ли назвал ответ Google «разочаровывающим», описав его в шутливых выражениях как «как узнать все пароли вашей старшей сестры».
Хотя для этого кому-то потребуется физический или удаленный доступ к компьютеру, существует множество общих компьютеров как дома, так и на работе. Хотя можно утверждать, что доступ к машине позволяет просто напрямую войти на любой из сохраненных сайтов, разница здесь в том, что вы сможете записать логин и затем использовать его позже на другой машине.
Большинство браузеров имеют аналогичную функцию раскрытия паролей, но требуют ввода главного пароля перед отображением паролей. В Safari на Mac логины хранятся в Связке ключей, и для отображения паролей веб-сайтов требуется ваш пароль от Mac.