(注意) Chromeでは自動保存のパスワードが丸見えな件。サーッと血の気が引いたわ | あまえび速報
6ca2a898    bdb683c1

(注意) Chromeでは自動保存のパスワードが丸見えな件。サーッと血の気が引いたわ

chrome (3)

Chromeでは自動保存のパスワードが丸見えな件。
知っておいた方がいいでしょう。( ´・ω・)y─┛~~~oΟ◯



chrome (1)

Chromeは初めて立ち上げると面白いことが起きます。
Chromeにこんなのが出てきました。

chrome (1)

Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、
と思って「Import bookmarks now(ブックマークを今すぐインポートする)」の
リンクを押してみたら、こんな予想外のものが出てきたんです。

chrome (2)

なぜ「保存済みパスワード」がグレイで、もうチェックしたことに
なってるんでしょうね?
チェック外せないんじゃ、チェックボックスの意味ないよ。
選べるかのように見えて実は錯覚。すごくミスリードしてる気がします。

と騒ぐのにはワケがあって、Chromeはパスワード管理がちょっとアレなんです。
以下はChromeの設定画面で「保存されたパスワードの管理」を開いたところ。

130808Chrome_c

右に「show(表示)」ボタン
まさかね…ハハハ…と思って押すと…
130808Chrome_d

ぐわー本当に表示されやがったーーー!!! 


マスターパスワードもなければ、セキュリティ保護もなし、
「これらのパスワードは公開となります」という警告もなしで、いきなりです。

信じられない人はChromeでchrome://settings/passwords
開いて確かめてみてください。

この話をすると、ユーザーと開発者ではすごい温度差があって、技術サイドの
人からはいつもこんな反応が返ってきます。

・1Passだけ使えばいいじゃん。
・そりゃ物理的にアクセスした途端コンピュータはどっちみち
セキュアじゃなくなるしね。
・パスワード管理なんだから、そうなるの当たり前、仕様。

どの言い分も正しいのだけど、問題はそこじゃなくて、グーグルがパスワードの
セキュリティ保護について明示してないこと
なんですね。

グーグルはYouTubeのプリロール広告や看板でブラウザを宣伝してるので、
対象は明らかに開発者以外。で、一般ユーザーは、まさかここまで簡単にパスワードが
外に見えるなんて知らない人がほとんどだと思うんです。
毎日何百万人ものユーザーがChromeを使ってパスワードを保存しているわけ
ですから、これは良くないと思いますよ。

chrome (4)

この表示はもっとミスリーディングです。
OSX側には「confidential information(部外秘情報)」、
「stored in your keychain(あなたのキーチェインに保存された)」とパスワードの
セキュリティの現況説明が出るんですが、これが今まさにChromeが迂回しよう
としているポイントで、Chromeではパスワード要求もなし自動保存のパスワードが
平文でキーチェインの外に丸見えになるんですね。
Chrome側でそのドメインのパスワードを自動で埋めてくれるのは便利なのですが…。

今日みなさんも試しに技術詳しくない人のところに行って、コンピュータちょっと
貸してもらって、その人の見てる前でChromeでchrome://settings/passwords
開いて、何行かパスワードの「show」ボタン押して、相手がなんて言うか
反応をみてみてください。
「パスワード管理なんだから、そうなるのが当たり前」なんて言う人いないと思いますよ。



以上の原稿公開後、Chromeセキュリティ部門トップのジャスティン・シャー(Justin Schuh)
さんから、僕の言ってることは間違いで、今後も変更はないというお返事がありました
http://www.gizmodo.jp/2013/08/chrome_5.html?utm_source=rss20&utm_medium=rss

いや、これは問題ですね。
たとえばパスワードを使いまわす人は多いでしょうし、Gmailと連携する
Chromeで同じパスワードを使っていれば、パスワードを知った人物に
メール見られ放題なんてことも。

とりあえずChromeの仕様は上記の通りで、今後も変更なしとのことなので、
Chromeユーザーの方は、少なくとも重要なほかサービスと同じパスワードを
使いまわすようなことはしないように注意してください。
会社のパソコンなどで、同僚にこっそり覗かれたりしたら
シャレにならない事態になるかも知れませんよ。( ´・ω・)y─┛~~~oΟ◯

xy (3)xy (4)
ポケットモンスター X
ポケットモンスター Y


005246 - コピー005247 - コピー
ニンテンドー3DS LL ポケットモンスター Xパック ゼルネアス・イベルタル ブルー

ニンテンドー3DS LL ポケットモンスター Yパック ゼルネアス・イベルタル ブルー



コメント

  1. 名無し

    前々から知られてることじゃんね

  2. 名無し

    その程度で血の気が引いちゃうんだ
    大変な人生だね

  3. 大学生21歳

    firefoxでも同じように簡単に見られますし、ふつうのことだと思います。
    パスワードをサイトごとに使い分けているからこそ、「このサイトのパスワードはなんだったかな」と表示して確認をすることも多々あり、便利で、必要に感じます。
    ただわたしは仕事場でパソコンを使う環境におかれたことはないので、そういう人は危ないかもしれませんね

  4. 名無し

    firefoxも見れる

  5. 名無し

    何かのアップデートの際に、どさくさに紛れてインストールされるものは、端から信用していない。
    Chrome然り、Bing然り。

  6. 名無し

    どのブラウザだって大体そうじゃん。

    で、おすすめのパスワード管理ソフトを紹介するのが、あまえびさんやろ?

  7. 名無し

    そもそも、他人が使えるパソコンでパスワード覚え込ませていたら、
    他人がそのサイト立ち上げたら勝手にパスワード入るじゃん。

    他人と共有するパソコンでパスワードは覚え込ませないのは基本だし、
    パスワードの使い回しもしないのが基本。

    基本ができていないのに、セキュリティホールだと騒いでもなぁ。

  8. 名無し

    職場ではブラウザのパスワード補完機能なんてオフにするのが当然
    入社後に端末与えて初期設定させる項目の一つ

  9. 名無し

    ちょろめなんか使うからだ

  10. 名無し

    大袈裟過ぎだろ。基本は自分だけのPCに覚えこませるんだから
    逆にパスワード忘れた時に便利な機能だろ。

  11. 名無し

    知ってた

  12. 名無し

    普通に知ってたわ。
    ってかみれないブラウザ探すほうが大変だろ

  13. 名無し

    同僚にこっそり覗かれる可能性のあるPCに見られて困るモノを入れるなよ・・・
    使う奴が馬鹿だと何を与えてもダメな典型例だな

  14. 名無し

    あまえびお前結構最近パスワードの●が見えるようになる拡張機能とか紹介してたじゃねぇか!!

  15. 名無し

    今頃かよ
    逆にパスワード忘れた時これみるだろ

  16. 名無し

    離席するときに画面ロックしていくのは基本だろ。
    何言ってんだこのバカ記事?
    別のユーザーが使用して不都合があるならOSのログインユーザー分けろや。

コメントを残す

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

post date*

アクセスランキング