アカウント名:
パスワード:
えっ、ちょっとまって!?それってできるの?
うろ覚えだけど、平文で保存しているんじゃなかったっけ、Chrome。(指摘のポイントはそういうことではない?)
他から丸見えだとは微塵も思ってなかったので...マジナノ?
暗号化/復号ロジックも、Chromeのコードがそのまんま使えるわけだし、一部情報は一方にしかないけどプロファイルの構造も全く同じ。Chrome間で同期するのと全く同じで、Edgeも同期できるってだけだよ。最近のChromiumではオンライン同期消されてるけど、プロファイルは拡張なければ同じもんだし。
暗号化キーがハードコードされているってこと?
Vivaldiには自分で暗号化キーを設定する項目がある。わざわざ説明にはVivaldiでもこのキーがなければ読むことはできない、って書いてある。この説明自体100%信用はできないが、少なくともVivaldiと無関係のブラウザやアプリが読み込むことはできなくなるのは間違いないだろう。
同期の機能を使っているのならアカウントで保護されてるはずだなあ
PWを表示するにはWindowsのログインアカウントを要求されますね。
OS(Windows)に、Chromeが自分の中に「保存されたパスワード」の暗号化キーを預かっておいてもらいWindowsはChromeにしか暗号化キーを渡さないので他のアプリに保存されたパスワードが平文で盗まれることはない、という仕組みかな、と思った。
WindowsはChromeにしか暗号化キーを渡さないけどEdgeには例外で渡しちゃうからEdgeがChromeのパスポートをインポートできる、みたいなクソバカをやるのがWindows
Edgeがインポートできるなら、誰かが作る(一見無関係な)アプリでもインポートできるのでは。それを外部に送信するということも当然できる・・?
昔のchromeは平文保存だったけど、今は暗号化されてる。(urlやアカウント名は今も平文。パスワード本体だけ暗号化)
#ただし簡単に復号できる
Chromeのパスワード入力機能って、ただ人間に代わって各サイトに入力してくれるだけですよね。
暗号化して保存してても、(ユーザーがパスワード入力するなどの操作もなく、Chrome側の一存で)復号できるってことですね。
Chromeに限定した話じゃないよね。
> 昔のchromeは平文保存だったけど、今は暗号化されてる。> (urlやアカウント名は今も平文。パスワード本体だけ暗号化) まじかー、知らなかった。他のアプリから盗み放題じゃないですか...(´・ω・`)ランサムウェアとかにぶっこ抜かれそう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
インポート対象の項目は「保存されたパスワード」 (スコア:0)
えっ、ちょっとまって!?
それってできるの?
Re:インポート対象の項目は「保存されたパスワード」 (スコア:0)
うろ覚えだけど、平文で保存しているんじゃなかったっけ、Chrome。
(指摘のポイントはそういうことではない?)
Re: (スコア:0)
他から丸見えだとは微塵も思ってなかったので...マジナノ?
Re: (スコア:0)
暗号化/復号ロジックも、Chromeのコードがそのまんま使えるわけだし、一部情報は一方にしかないけどプロファイルの構造も全く同じ。
Chrome間で同期するのと全く同じで、Edgeも同期できるってだけだよ。
最近のChromiumではオンライン同期消されてるけど、プロファイルは拡張なければ同じもんだし。
Re: (スコア:0)
暗号化キーがハードコードされているってこと?
Vivaldiには自分で暗号化キーを設定する項目がある。
わざわざ説明にはVivaldiでもこのキーがなければ読むことはできない、って書いてある。
この説明自体100%信用はできないが、少なくともVivaldiと無関係のブラウザやアプリが読み込むことはできなくなるのは間違いないだろう。
Re: (スコア:0)
同期の機能を使っているのならアカウントで保護されてるはずだなあ
Re: (スコア:0)
PWを表示するにはWindowsのログインアカウントを要求されますね。
Re: (スコア:0)
OS(Windows)に、Chromeが自分の中に「保存されたパスワード」の暗号化キーを預かっておいてもらい
WindowsはChromeにしか暗号化キーを渡さないので他のアプリに保存されたパスワードが平文で盗まれることはない、という仕組みかな、
と思った。
WindowsはChromeにしか暗号化キーを渡さないけどEdgeには例外で渡しちゃうからEdgeがChromeのパスポートをインポートできる、みたいなクソバカをやるのがWindows
Re: (スコア:0)
Re: (スコア:0)
Edgeがインポートできるなら、
誰かが作る(一見無関係な)アプリでもインポートできるのでは。
それを外部に送信するということも当然できる・・?
Re: (スコア:0)
昔のchromeは平文保存だったけど、今は暗号化されてる。
(urlやアカウント名は今も平文。パスワード本体だけ暗号化)
#ただし簡単に復号できる
Re:インポート対象の項目は「保存されたパスワード」 (スコア:2)
Chromeのパスワード入力機能って、ただ人間に代わって各サイトに入力してくれるだけですよね。
暗号化して保存してても、(ユーザーがパスワード入力するなどの操作もなく、Chrome側の一存で)復号できるってことですね。
Re: (スコア:0)
Chromeに限定した話じゃないよね。
Re: (スコア:0)
> 昔のchromeは平文保存だったけど、今は暗号化されてる。
> (urlやアカウント名は今も平文。パスワード本体だけ暗号化)
まじかー、知らなかった。他のアプリから盗み放題じゃないですか...(´・ω・`)
ランサムウェアとかにぶっこ抜かれそう。