Ieri au circulat pe net mai multe articole/opinii despre cât de vulnerabil e browser-ul Chrome pentru că salvează parolele local şi permite apoi consultarea lor fără alte elemente de verificare. Situaţia ar trebui să fie şi mai rea în cazul în care e folosită facilitatea de sincronizare Chrome multidevice.
Nu neg că e o problemă: dacă cineva are acces la sistemul pe care folosiţi Chrome şi aveţi ceva parole salvate local, are posibilitatea să le vadă relativ simplu: deschide pagina chrome://settings/passwords în browser, selectează câmpul cu parola şi apasă pe butonul Afişaţi (Show) şi parola apare.
Poate trece la toate celelalte parole salvate şi să le copieze, nu se pot edita de aici.
E o problemă? Evident că este. Şi destul de mare.
Dar e oare singura atunci când ne folosim de opţiunile automate de salvare a parolelor în paginile web?
Nici pe departe. Aici detaliam o modalitate prin care puteţi să vedeţi la fel de uşor parolele salvate în brower. Trebuie doar să aveţi acces fizic (la fel ca în situaţia de mai sus) la browser-ul în care sunt salvate parolele. Intraţi pe un anumit site unde ştiţi (bănuiţi) că e salvată local parola.
Apoi clic dreapta pe câmpul în care este parola și apoi alegeți Inspect Element și apoi Edit. Schimbați codul password cu text și apoi veți vedea instant parola în browser.
E vreo diferenţă? Aproape niciuna (în al doilea caz trebuie să cauţi site-urile unde sunt parolele salvate, nu le vezi automat).
Finalitatea e aceiaşi: parola poate fi consultată de oricine are acces fizic/remote la browser. Atunci de ce aşa de mare caz pe vulnerabilitatea nouă descoperită de Elliott Kember şi publicată în “Chrome’s insane password security strategy”?
În afară de a mai da nişte titluri senzaţionale prin diverse publicaţii.
