Chrome odhalí uložená hesla na požádání. Jedná se o velkou slabinu?

8. 8. 2013

Kolem ukládání hesel v prohlížečích se strhala mela poté, co si vývojář Elliott Kember z týmu Riot uvědomil, jak málo zabezpečená uložená hesla jsou. Podotýkám, že vám může dělat problém pochopit jeho výtky. Problém nás, čili uživatelů, spočívá v tom, že jsme si zvykli, jak věci fungují. Když proto někdo napadne funkci, kterou některé prohlížeče mají odjakživa, divíme se, co se děje. Proč si někdo nestěžoval dříve? Spousta lidí ji bere jako běžnou součást denního režimu prohlížení.

Kember úplnou náhodou zjistil, že když chce, Chrome mu odhalí libovolné z uložených hesel. Nebavíme se proto o tom, že by bylo snadné nabourat databázi. Kdyby ale někdo chtěl hledat, ve vašem počítači požadovaný přístupový klíč najde rychle. Když prohlížeč požádáte, odhalí heslo v čisté textové podobě. Zkopírovat ho pak samozřejmě zvládne každý. Chrome v tom není sám, podobnou funkci obsahuje rovněž Firefox nebo nová Opera.

Ten ale můžete ochránit ještě hlavním heslem. To by pak případný útočník musel zdolat. Na Kemberovo zjištění zareagoval Justin Schuh, hlavní vývojář Google Chromu. Podle něj se o bezpečnosti přemýšlelo velmi dlouho a vývojový tým nakonec dospěl k názoru, že si slabost uvědomují, ale změnit přístup k zobrazení hesel neplánují. Jedná se o kompromis. Buď dovolíme uživateli, aby prohlížel vlastní hesla, nebo ho lépe zabezpečíme, ale nikdy se nedozví, co do prohlížeče uložil.

Ze strany Googlu se jedná o záměr. Připadalo vám někdy zobrazení hesel na požádání jako podivná a nestandardní funkce? Jak bylo řečeno, když si na něco zvykneme, přestaneme vnímat negativní vlastnosti. To ale neznamená, že by věci nemohly být lepší. Safari například striktně vyžaduje, abyste nejprve zadali hlavní heslo. Trápí vás, že váš prohlížeč (ne)vypíše hesla na požádání? Dáte přednost pohodlí před bezpečností?