アカウント名:
パスワード:
実際にアクセスを監視してパスワードを盗みとろうとしているんだから。IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?昔はFirefoxにも対応してたな(最近はFirefox側のセキュリティが強化されたのかなんなのか知らないけどフィルされない)。
>Eにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?インポート機能があって、お気に入りなどと一緒にコピーされる。パスワードをインポートしたくないときはチェックを外すことが可能。
うんにゃ、アクセスしてるURLをもとにリアルタイムにチェックしてるんだよ(IEのパスワードはURLをキーに暗号化されているのでそうしないと解読できない)。つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
うーん、つまり、クロームがマルウェアみたいにパスワードをぶっこぬいているでもって、それに対して簡単にぶっこぬかれる...それって、そういう機構であって、前者を認定する以上、後者についても対策とらないとまずいのと違うか?そういうプラットフォームを提供しているとかも、問題になるかもね。逆に、それが問題でない(プラットフォームとして正しい実装している)のであれば、クロームの行動は問題ないってことにならんか?
>ブラウザがどっかに保存してる内容は、オートフィル用のパスワードであれなんであれ、どれだけ暗号化されていようとも、そのブラウザの利用者が実行した別のプログラムからなら簡単に読み取れますな。
そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。別の会社だと、多少は意味が通るが、完全な自己撞着をやらかしてしまったわけで、これはつまるところ、マルウェアではなくて、マルウェアとし(かつ、その環境を提供し)たモノの瑕疵でしかないわけなんだよな。
>コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
というか、普通、コンピュータにおいて、パスワードであろうがなかろうが、実行を許諾した(実行を指示した)ものについてに言えることだよね。気を付けないといけないことが結構パソコンとかには多い。そういった不完全ってか出来が悪いモノを使っているという自覚は必要なんだな。それは何も、クロームとかIEとかMS製品とかいったモノに限らないってこと。
>そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。無茶言うなよ。自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。ユーザーのアクセスと同様に要求されれば同様に応答するしかないよ。これは逆であっても同じはず。
>自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
うん、ユーザ動作に見える当然を、なぜかクロームをbanした理由としているのが、笑えるわけなんだよね。
>これは逆であっても同じはず。
そう、お詫びにIEアンインストールしちゃう設定で流すと釣合いがとれると思いますよ。
googleは個人情報の扱いに無頓着だと思っているので、クロームは使ってないし、知りませんでした。使ってる人はクレーム入れなきゃ
>つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
みんなマジで知っているですか、私は知らなかったです(いつものこと)
ブラウザ(や他のアプリ)を使うのにイチイチソースから確認なんてしたことも無いし、そんなことはできないし。それもみんなマジでしてますか。#アレゲな人達は流石です。
たまにIE使うけど、IEにパスワードなんて設定してないのでその辺も全く知らなかった。WEBサイトで毎での認証PINコードとはまた違うんですよね。それらについてはIEで入力したモノが自動的にChromeで使えるようになったことも無いので、イマイチ話がよくわからない。#これもいつものことだし。
マジで?と思って試したけど、明示的にインポートしないとダメだった。ちなみに、インポートしてもオプションにある保存したパスワードの管理画面には表示されないけど、実際にパスワード入力画面に行くとオートコンプリートされる。そして実際にパスワードを送信すると管理画面に出てくるようになる。「IEのパスワードはURLをキーに暗号化されている」という事なら、暗号化されたままのデータをコピーしておいて、パスワード入力フォームがあると、URLを元に保存されたパスワードがないかチェックしてる(から事前には一覧に出ない)のでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
間違われても仕方なかろう (スコア:0)
実際にアクセスを監視してパスワードを盗みとろうとしているんだから。
IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
昔はFirefoxにも対応してたな(最近はFirefox側のセキュリティが強化されたのかなんなのか知らないけどフィルされない)。
Re: (スコア:0)
>Eにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
インポート機能があって、お気に入りなどと一緒にコピーされる。
パスワードをインポートしたくないときはチェックを外すことが可能。
Re:間違われても仕方なかろう (スコア:1)
うんにゃ、アクセスしてるURLをもとにリアルタイムにチェックしてるんだよ(IEのパスワードはURLをキーに暗号化されているのでそうしないと解読できない)。
つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
Re:間違われても仕方なかろう (スコア:1)
うーん、つまり、クロームがマルウェアみたいにパスワードをぶっこぬいている
でもって、それに対して簡単にぶっこぬかれる...それって、そういう機構であって、
前者を認定する以上、後者についても対策とらないとまずいのと違うか?
そういうプラットフォームを提供しているとかも、問題になるかもね。
逆に、それが問題でない(プラットフォームとして正しい実装している)の
であれば、クロームの行動は問題ないってことにならんか?
Re:間違われても仕方なかろう (スコア:1)
OSとかハードウェアのレベルで出来なくするような仕組みを持たせることは可能でしょうけど、IEがそうなってるという話は聞いたことが無いですから、IEが覚えてくれてるパスワードも同様でしょう。
簡単のため、対象をオープンソースのブラウザを例にすれば、ブラウザのソースコードを拾ってきて、パスワードオートフィルの部分の動作を書き換えればOK。素朴なやり方としては、例えば表示に際して「********」と「*」で見えないようにしている部分が有るはずですが、そこを元々のパスワードが表示されるように書き換えるとか。で、コンパイルして元々の実行ファイルと置き換えれば良いだけ。
IEのようなソースが公開されてないブラウザが保存しているデータを抜き出すのはもうちょっと大変ですが、原理的に難しくなってるわけでも無し。起動時にパスワード入力を要求されるブラウザかパスワードマネージャとかでない限り、コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
Re:間違われても仕方なかろう (スコア:1)
>ブラウザがどっかに保存してる内容は、オートフィル用のパスワードであれなんであれ、どれだけ暗号化されていようとも、そのブラウザの利用者が実行した別のプログラムからなら簡単に読み取れますな。
そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。別の会社だと、多少は意味が通るが、完全な自己撞着をやらかしてしまったわけで、これはつまるところ、マルウェアではなくて、マルウェアとし(かつ、その環境を提供し)たモノの瑕疵でしかないわけなんだよな。
>コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
というか、普通、コンピュータにおいて、パスワードであろうがなかろうが、実行を許諾した(実行を指示した)ものについてに言えることだよね。
気を付けないといけないことが結構パソコンとかには多い。
そういった不完全ってか出来が悪いモノを使っているという自覚は必要なんだな。
それは何も、クロームとかIEとかMS製品とかいったモノに限らないってこと。
Re: (スコア:0)
>そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。
無茶言うなよ。
自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
ユーザーのアクセスと同様に要求されれば同様に応答するしかないよ。
これは逆であっても同じはず。
Re:間違われても仕方なかろう (スコア:1)
>自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
うん、ユーザ動作に見える当然を、なぜかクロームをbanした理由としているのが、笑えるわけなんだよね。
>これは逆であっても同じはず。
そう、お詫びにIEアンインストールしちゃう設定で流すと釣合いがとれると思いますよ。
Re:間違われても仕方なかろう (スコア:1)
googleは個人情報の扱いに無頓着だと思っているので、クロームは使ってないし、知りませんでした。
使ってる人はクレーム入れなきゃ
Re:間違われても仕方なかろう (スコア:1)
>つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
みんなマジで知っているですか、私は知らなかったです(いつものこと)
ブラウザ(や他のアプリ)を使うのにイチイチソースから確認なんてしたことも無いし、そんなことはできないし。
それもみんなマジでしてますか。
#アレゲな人達は流石です。
たまにIE使うけど、IEにパスワードなんて設定してないのでその辺も全く知らなかった。
WEBサイトで毎での認証PINコードとはまた違うんですよね。
それらについてはIEで入力したモノが自動的にChromeで使えるようになったことも無いので、イマイチ話がよくわからない。
#これもいつものことだし。
Re: (スコア:0)
マジで?と思って試したけど、明示的にインポートしないとダメだった。
ちなみに、インポートしてもオプションにある保存したパスワードの管理画面には表示されないけど、実際にパスワード入力画面に行くとオートコンプリートされる。そして実際にパスワードを送信すると管理画面に出てくるようになる。
「IEのパスワードはURLをキーに暗号化されている」という事なら、暗号化されたままのデータをコピーしておいて、パスワード入力フォームがあると、URLを元に保存されたパスワードがないかチェックしてる(から事前には一覧に出ない)のでしょう。