アカウント名:
パスワード:
えっ、ちょっとまって!?それってできるの?
うろ覚えだけど、平文で保存しているんじゃなかったっけ、Chrome。(指摘のポイントはそういうことではない?)
他から丸見えだとは微塵も思ってなかったので...マジナノ?
暗号化/復号ロジックも、Chromeのコードがそのまんま使えるわけだし、一部情報は一方にしかないけどプロファイルの構造も全く同じ。Chrome間で同期するのと全く同じで、Edgeも同期できるってだけだよ。最近のChromiumではオンライン同期消されてるけど、プロファイルは拡張なければ同じもんだし。
暗号化キーがハードコードされているってこと?
Vivaldiには自分で暗号化キーを設定する項目がある。わざわざ説明にはVivaldiでもこのキーがなければ読むことはできない、って書いてある。この説明自体100%信用はできないが、少なくともVivaldiと無関係のブラウザやアプリが読み込むことはできなくなるのは間違いないだろう。
同期の機能を使っているのならアカウントで保護されてるはずだなあ
PWを表示するにはWindowsのログインアカウントを要求されますね。
OS(Windows)に、Chromeが自分の中に「保存されたパスワード」の暗号化キーを預かっておいてもらいWindowsはChromeにしか暗号化キーを渡さないので他のアプリに保存されたパスワードが平文で盗まれることはない、という仕組みかな、と思った。
WindowsはChromeにしか暗号化キーを渡さないけどEdgeには例外で渡しちゃうからEdgeがChromeのパスポートをインポートできる、みたいなクソバカをやるのがWindows
Edgeがインポートできるなら、誰かが作る(一見無関係な)アプリでもインポートできるのでは。それを外部に送信するということも当然できる・・?
昔のchromeは平文保存だったけど、今は暗号化されてる。(urlやアカウント名は今も平文。パスワード本体だけ暗号化)
#ただし簡単に復号できる
Chromeのパスワード入力機能って、ただ人間に代わって各サイトに入力してくれるだけですよね。
暗号化して保存してても、(ユーザーがパスワード入力するなどの操作もなく、Chrome側の一存で)復号できるってことですね。
Chromeに限定した話じゃないよね。
> 昔のchromeは平文保存だったけど、今は暗号化されてる。> (urlやアカウント名は今も平文。パスワード本体だけ暗号化) まじかー、知らなかった。他のアプリから盗み放題じゃないですか...(´・ω・`)ランサムウェアとかにぶっこ抜かれそう。
えっ? ちょっとまって!?
[設定]→ [自動入力] → [パスワード]で簡単にサイトのパスワードを確認・修正・削除できる機能があるんだから当たり前に出来ると思ってたぞ。
それと他のアプリから自由にパスワード覗けるのは、別の話だと思ってたんですが...
インターネット若人は驚くかもしれないが、Win32アプリというのはスマホアプリのような権限管理がほぼされていなくて、他のアプリのデータも基本的には除き放題。その代わり通常はOSベンダーしか提供できないようなバックアップユーティリティのたぐいもサードパーティーが提供できる。さすがにこれはあんまりではないかとUWPのような悪あがきをしたこともあったが結果はご存知の通り。
忘れたらこっそり教えてくれる機能があることは知ってた。管理者パスワードが要るけど、まあ、復号できる形で保存されている。以後保存自体をしなくなった。
復号できなきゃ根本的に意味がない情報なんだから、復号できるのは当たり前だろう。さすがに保存は暗号化されてるよ。
> さすがに保存は暗号化されてるよ。 と思ってたんですが、他のアプリ(Edge)からインポートできるなら暗号化とはいえませんよね。
他のアプリっていってもChromiumなので他のアプリとも言えんでしょ。同じアプリのバージョン変わっても互換性があるってだけの話でしかない。
ソースが公開されているChromiumの復号化部分のコードをパクればいいだけだから、「他のアプリでも」と言えないわけがないでしょ
>それってできるの?
たしかに。なにしろ仕様として出来る事になっている IE → Edge のパスワードのインポートがまず成功しなかったからね。
誰もFirefoxに言及していないようだが、プライマリーパスワードを設定していなければ、Edgeでインポートできるし、当然のことながらパスワードを見ることもできる。
> 誰もFirefoxに言及していないようだが 悲しいね... (´・ω・`)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
インポート対象の項目は「保存されたパスワード」 (スコア:0)
えっ、ちょっとまって!?
それってできるの?
Re: (スコア:0)
うろ覚えだけど、平文で保存しているんじゃなかったっけ、Chrome。
(指摘のポイントはそういうことではない?)
Re: (スコア:0)
他から丸見えだとは微塵も思ってなかったので...マジナノ?
Re: (スコア:0)
暗号化/復号ロジックも、Chromeのコードがそのまんま使えるわけだし、一部情報は一方にしかないけどプロファイルの構造も全く同じ。
Chrome間で同期するのと全く同じで、Edgeも同期できるってだけだよ。
最近のChromiumではオンライン同期消されてるけど、プロファイルは拡張なければ同じもんだし。
Re: (スコア:0)
暗号化キーがハードコードされているってこと?
Vivaldiには自分で暗号化キーを設定する項目がある。
わざわざ説明にはVivaldiでもこのキーがなければ読むことはできない、って書いてある。
この説明自体100%信用はできないが、少なくともVivaldiと無関係のブラウザやアプリが読み込むことはできなくなるのは間違いないだろう。
Re: (スコア:0)
同期の機能を使っているのならアカウントで保護されてるはずだなあ
Re: (スコア:0)
PWを表示するにはWindowsのログインアカウントを要求されますね。
Re: (スコア:0)
OS(Windows)に、Chromeが自分の中に「保存されたパスワード」の暗号化キーを預かっておいてもらい
WindowsはChromeにしか暗号化キーを渡さないので他のアプリに保存されたパスワードが平文で盗まれることはない、という仕組みかな、
と思った。
WindowsはChromeにしか暗号化キーを渡さないけどEdgeには例外で渡しちゃうからEdgeがChromeのパスポートをインポートできる、みたいなクソバカをやるのがWindows
Re: (スコア:0)
Re: (スコア:0)
Edgeがインポートできるなら、
誰かが作る(一見無関係な)アプリでもインポートできるのでは。
それを外部に送信するということも当然できる・・?
Re: (スコア:0)
昔のchromeは平文保存だったけど、今は暗号化されてる。
(urlやアカウント名は今も平文。パスワード本体だけ暗号化)
#ただし簡単に復号できる
Re:インポート対象の項目は「保存されたパスワード」 (スコア:2)
Chromeのパスワード入力機能って、ただ人間に代わって各サイトに入力してくれるだけですよね。
暗号化して保存してても、(ユーザーがパスワード入力するなどの操作もなく、Chrome側の一存で)復号できるってことですね。
Re: (スコア:0)
Chromeに限定した話じゃないよね。
Re: (スコア:0)
> 昔のchromeは平文保存だったけど、今は暗号化されてる。
> (urlやアカウント名は今も平文。パスワード本体だけ暗号化)
まじかー、知らなかった。他のアプリから盗み放題じゃないですか...(´・ω・`)
ランサムウェアとかにぶっこ抜かれそう。
Re: (スコア:0)
えっ? ちょっとまって!?
[設定]→ [自動入力] → [パスワード]
で簡単にサイトのパスワードを確認・修正・削除できる機能があるんだから当たり前に出来ると思ってたぞ。
Re:インポート対象の項目は「保存されたパスワード」 (スコア:1)
それと他のアプリから自由にパスワード覗けるのは、別の話だと思ってたんですが...
Re: (スコア:0)
インターネット若人は驚くかもしれないが、Win32アプリというのはスマホアプリのような権限管理がほぼされていなくて、他のアプリのデータも基本的には除き放題。その代わり通常はOSベンダーしか提供できないようなバックアップユーティリティのたぐいもサードパーティーが提供できる。
さすがにこれはあんまりではないかとUWPのような悪あがきをしたこともあったが結果はご存知の通り。
Re: (スコア:0)
忘れたらこっそり教えてくれる機能があることは知ってた。
管理者パスワードが要るけど、まあ、復号できる形で保存されている。
以後保存自体をしなくなった。
Re: (スコア:0)
復号できなきゃ根本的に意味がない情報なんだから、復号できるのは当たり前だろう。
さすがに保存は暗号化されてるよ。
Re: (スコア:0)
> さすがに保存は暗号化されてるよ。
と思ってたんですが、他のアプリ(Edge)からインポートできるなら暗号化とはいえませんよね。
Re: (スコア:0)
他のアプリっていってもChromiumなので他のアプリとも言えんでしょ。
同じアプリのバージョン変わっても互換性があるってだけの話でしかない。
Re: (スコア:0)
ソースが公開されているChromiumの復号化部分のコードをパクればいいだけだから、「他のアプリでも」と言えないわけがないでしょ
Re: (スコア:0)
>それってできるの?
たしかに。
なにしろ仕様として出来る事になっている IE → Edge のパスワードのインポートがまず成功しなかったからね。
Firefoxに保存したパスワードは丸見え (スコア:0)
誰もFirefoxに言及していないようだが、プライマリーパスワードを設定していなければ、Edgeでインポートできるし、当然のことながらパスワードを見ることもできる。
Re: (スコア:0)
> 誰もFirefoxに言及していないようだが
悲しいね... (´・ω・`)