Менеджер паролей
-
Есть парочка хотелок насчёт мобильной версии браузера.
Вот смотрите: если я захожу в менеджер паролей и хочу посмотреть какой-то пароль, меня заставят приложить палец (или ввести пароль от телефона). Во-первых, тут сразу встаёт вопрос, шифруются ли данные пользователя на устройстве? На сервере точно шифруются, но это немного другое.
Во-вторых, лично мне хотелось бы, чтобы подтверждение запрашивали ещё и при попытке использовать пароль на каком-то сайте. Это бы защитило пользователя вообще со всех сторон. Докиньте проверку на утечки (щас так модно), и будет вообще топ.
Ну и в-третьих, Яндекс при попытке сохранить пароль предложит использовать их же автозаполнение. Возможно, так умеет и Firefox (Opera вот не умеет, я проверил). Лично мне это не особо нужно, но так мы заходим на территорию менеджеров паролей, а как раз с ними пользователи заморачиваться не особо хотят.
Ну и так я смогу перетащить в Vivaldi ещё трех-четырех человек. А то пока Brave в связке с Bitwarden в конкретно их случае кажется более подходящей альтернативой.
I don't feel at home in this world anymore
-
@Semenov-Sherin said in Менеджер паролей:
чтобы подтверждение запрашивали ещё и при попытке использовать пароль на каком-то сайте
А разве у вас не запрашивает?
У меня биометрику запрашивает при любой попытке как-то использовать или просмотреть пароль, ещё при экспорте паролей.А флаг
chrome://flags/#biometric-reauth-password-fillingвключён?
@Semenov-Sherin said in Менеджер паролей:
а как раз с ними пользователи заморачиваться не особо хотят
это ньюбы не хотят, но все постепенно растут и дорастают до advanced.
Но здесь ещё одна проблема: возможное воровство кукизов, в том числе и сессионных, и я не знаю, насколько браузер на андроиде защищён от этого и как можно было бы усилить эту защиту? Может быть, есть флаги, которые позволяют её усилить?
-
@Semenov-Sherin said in Менеджер паролей:
Во-первых, тут сразу встаёт вопрос, шифруются ли данные пользователя на устройстве?
Отличный вопрос!
@Shpankov Ув. Илья, если это не тайна, расскажите, пожалуйста, об этом.
Или, может быть, пригласите специалиста, программера, безопасника, пусть он ответит, пусть на англ., мы переведём
-
@far4 said in Менеджер паролей:
А разве у вас не запрашивает? У меня биометрику запрашивает при любой попытке как-то использовать или просмотреть пароль, ещё при экспорте паролей.
Проверил. По умолчанию ничего не спрашивает, но теперь настроил, и всё норм. По-моему, этот пункт всё-таки лучше активировать. И тогда единственной возможной проблемой будут стилеры, о которых я пока только в страшилках слышал.
-
@Semenov-Sherin said in Менеджер паролей:
По-моему, этот пункт всё-таки лучше активировать.
...активировать по умолчанию.
Т.е. на этапе установки и первичной настройки браузера.
В браузере много флагов, которые стоит активировать на любом мало-мальски современном устройстве.
Ну или хотя бы синхронизировать их значения с серверами.
А то первое, что я делаю после очередной установки - заново выставляю все флаги.А разработчикам или послам (есть такая должность на форуме) хорошо бы написать подробную инструкцию на эту тему: какой флаг за что отвечает и что изменяется к лучшему, если его включить. И поддерживать её в актуальном состоянии с выходом новых версий Хромиума.
-
@far4 said in Менеджер паролей:
А разве у вас не запрашивает?
У меня биометрику запрашивает при любой попытке как-то использовать или просмотреть пароль, ещё при экспорте паролей.Это если биометрика, пин-код и пр. включены для разблокировки телефона.
Found a bug? Submit bugreport!
Знайшов баґ? Зроби баґрепорт!
Нашёл баг? Отправь багрепорт!
https://vivaldi.com/bugreport/ -
@far4 said in Менеджер паролей:
Ув. Илья, если это не тайна, расскажите, пожалуйста, об этом.
Насколько я знаю - на самом устройстве не шифруются, а вот при синхронизации - шифруются перед передачей на сервер.
-
@Shpankov а реально найти эти файлы через проводник и открыть? Само устройство ведь сейчас по умолчанию шифруется, и залезть в файлы через ПК без пароля теоретически уже не получится.
I don't feel at home in this world anymore
-
@kurai правильное уточнение. Но если у человека не защищен локскрин, то ему не стоит пользоваться и не защищённым менеджером паролей в браузере. Тут уж bitwarden или keepass подойдут.
-
@Semenov-Sherin кстати, есть такой мододел Devint, он использует патч для полного доступа к данным браузера Iceraven (форк ФФ). Думаю, этот патч можно использовать по отношению к любому браузеру. В случае с IR я получаю доступ к папкам/файлам и могу скопировать любой из них без рута/adb и просмотреть, изучить, — вот только назад модифицированный не смогу скопировать: без рута не выставить нужные права.
Ещё можно поставить виртуальную машину типа "андроид-на-андроиде", включить в ней режим рута, установить браузер и... с тем же результатом.Браузер - не очень-то хорошо защищённая крепость.
Когда я увидел, как легко можно вытащить, а потом снова импортировать сессионные кукизы у Киви, притом с помощью расширения, которое элементарно ставится с хром-стора... что ж о паролях говорить. Пароли можно и не хранить в браузере, а от кукизов никуда не деться.
-
@Semenov-Sherin said in Менеджер паролей:
а реально найти эти файлы через проводник и открыть?
Не знаю - никогда не копался во внутренностях андроида.
-
Подвижек нет?
А то сегодня установил Firefox. Там автозаполнение в других приложениях есть, но никак не защищено: для просмотра паролей отпечаток и пин-код нужны, но при использовании их никто не спрашивает. Зато там есть полноценные расширения.
