...

пятница, 27 февраля 2015 г.

[Из песочницы] Браузер Vivaldi хранит пароли в открытом виде

Прошёл почти месяц, как я открыл в шестнадцатеричном редакторе файл ~/.config/vivaldi/Default/Login Data и увидел примерно следующее:

image


С тех пор ничего не изменилось.

Сразу по обнаружении данной «особенности» была написана простая программа выдёргивания личных данных из SQLite3-файла, после чего информация попала в руки всему сообществу, минуя разработчиков. Это важно, поскольку отсутствие шифрования паролей не похоже на уязвимость, оглашать детали которой было бы правильно только после её устранения.


Реакция на сей факт оказалась… никакой. Как со стороны создателей Vivaldi, так и со стороны пользователей. Было ясно, что разработчики полностью осознают серьёзность положения, поэтому в течение месяца я мониторил новости и обсуждения как на официальном сайте, так и на Хабре, ожидая одного — сообщения всем пользователям временно не использовать функцию сохранения паролей, пока не будет реализовано шифрование. Последней каплей стало голосование за новые функции в браузере, где, как вы уже поняли, про личные данные нет ни слова. Были необходимы решительные меры.


Надеюсь, сообщение не будет воспринято как осуждение разработчиков и выставление их в плохом свете. Однако статус тестовой версии — не оправдание того, почему пользователи не знают о своей незащищённости.


This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Комментариев нет:

Отправить комментарий