Birçok tarayıcı uzantısının ve eklentisinin "tüm verilerime" (hem Chrome'da hem de Firefox'ta erişim gerektirdiği) giderek daha fazla ortaya çıkıyor; Internet Explorer'da yorum yapmayacağım).

Bu eklentilerin ve eklentilerin bankamatik verilerime (örneğin) ziyaret ettiğimde erişmesine veya formlar aracılığıyla gönderilen verilere erişmesinin mümkün olup olmadığını merak ediyorum.

Eklentilerin güvenlik üzerindeki etkileri nelerdir?

Bu yayın yalnızca Firefox ve Chromium / Google Chrome için geçerlidir. Internet Explorer, Opera veya mobil tarayıcılar hakkında yorum yapamıyorum. Ayrıca, benim matematik aşağı doğru yanlış olabilir, ancak temel fikir doğrudur.

Elbette, bu, Firefox ve Chrome / Chromium durumunda, olası değildir.

Şifrelerim (tarayıcıda saklanan) güvenli midir?

Bu cevap benim favorilerimden biri: Değişir. Tarayıcı tarafından kaydedilen parolaların önemli bir noktayı yerine getirmesi ve güvenlik açısından kabus, durum: Düz metin olmaları veya düz metne geri dönmeleri gerekir.

Düz Metin - Şifreli ve Karma

Bu neden kötü? Birisinin bir sunucuya girdiğini ve şifre veritabanını çaldığını düşünün. İki olası sonuç vardır:

1. Parolalar düz metindir (veya kolayca geri döndürülebilir), bu nedenle krakerin artık tüm hesaplara tam erişimi vardır.
2. Parolalar karma (veya şifreli), parolaları almak ve hesaplara erişmek için karma değerlere karşı kaba bir saldırı gerekir. Kullanıcı adınız ve şifreniz çalınsa bile, hesabınız hala güvende.

Tarayıcının şifreyi web sitelerine gönderebilmesi gerektiğinden, şifreleri hash edemez, yalnızca şifreleyebilir (hatta düz metin olarak saklayabilir). Bu, her zaman akılda tutulması gereken bir şeydir (aynı şey e-posta istemcileri, sohbet uygulamaları vb. İçin de geçerlidir).

Şifreli olduğu için güvenli olduğu anlamına gelmez

Firefox varsayılan olarak şifreleri kaydetmenize izin verir. Ayrıca onları şifreler . Aynı (Zeyilname bkz Chromium'a geçerlidir "duruma göre değişir ... Kuyusu" ). Buradaki sorun, şifre çözme anahtarının parolalarla birlikte saklanmasıdır. Bu, şifrelemeyi, şifrelerinizi isteyen ve hiçbir şekilde durdurmayan biri için küçük bir rahatsızlık haline getirir.

O zaman anahtarı şifrelerle saklamayın!

Doğru, şifreleri daha güvenli hale getirmek için anahtarı şifrelenmiş şifrelerden uzak tutmamız gerekiyor. Bu, daha sonra tüm şifrelerinizi şifrelemek ve şifresini çözmek için kullanılan bir Ana Parola belirleyerek Firefox'ta yapılır . Bu tekniği kullanarak , anahtarı her zaman iyi bir fikir olan şifrelenmiş verilerden ayırırsınız (sonuçta, ön kapı anahtarınızı dışarıdaki kapınızın önündeki bir kancada tutmuyorsunuz, değil mi?).

Parolalar yalnızca sizin yaptığınız kadar güvenlidir

Öyleyse, neden daha önce şifrelerinizin artık daha güvenli ve güvenli olmadığını söyledim ? Çünkü şimdi şifrelerinizin güvenliği seçtiğiniz şifreye bağlıdır. Yani, "asdf" şifresi hiçbir şekilde güvenli kabul edilmemelidir; "12345" de değildir. İyi şifreler uzundur , çünkü onları zorlamak oldukça fazla zaman alır. "VioletIsAnotherColor" şifresi, ikincisinin özel karakterler içermesine rağmen, uzunluğu nedeniyle teknik olarak "D0! L4riZe" den daha güvenlidir. Buna kısaca bir göz atalım.

"VioletIsAnotherColor"
Uzunluk: 20
Olası karakterler: 52 (26 küçük harf + 26 büyük harf)

"D0! L4riZe"
Uzunluk: 9
Olası Karakterler: 77 (26 alt + 26 üst + 10 basamak + 15 özel)
Kampanyalar :! " @ $% & / () =? * + # -

Peki, karakter kümelerini ve uzunluklarını bilerek bu şifreleri kırmak için kaç denemeye ihtiyacımız var?

"VioletIsAnotherColor"
52 ²⁰ = ~ 20 milyon (~ 2 × 10 ³⁴ )

"D0! L4riZe"
77 ⁹ = ~ 95 katrilyon (~ 9 × 10 ¹⁶ )

Gördüğümüz gibi, ikinci şifre, daha geniş karakter setine rağmen, sınırlı setiyle kaba kuvvetten uzun olandan daha kolaydır. Bu uzunluk yüzünden. (Bir diğer sorun, ilkinin hatırlanması daha kolay olmasıdır.) Konuyla ilgili ayrıntılar için bu BT Güvenliği sorusuna bakın.

Bu nedenle, mümkünse, bir parola değil, bir parola kullanın .

Konuya geri döndüğümde, bir kimlik sahtekarlığı eklentisinden şifrelerim ne kadar güvende?

Onlar değil. Bunun nedeni, eklentilerin az önce ziyaret ettiğiniz web sitesine erişimlerinin olmasıdır. Girilen şifreler de dahil olmak üzere ondan bilgi alabilirler. Eklentiler, kurulu diğer tüm yazılımlar gibi bir güvenlik riskidir. Yalnızca güvendiğiniz eklentileri yükleyin.

Harika! Bunu nasıl bilebilirim?

Yalnızca güvendiğiniz kaynaklardan eklentiler yükleyin. Firefox için AddOns sayfası ve Chromium için Chrome Web Mağazası veya yazara / dağıtıcıya güveniyorsanız. Her ikisi de AddOns'un kontrol edildiğini ve güvenli olduğunu garanti eder.

Ne Mozilla AddOns sayfası ne de Chrome Web Mağazası eklentinin güvenli olduğunu hiçbir şekilde garanti etmez. Kötü amaçlı eklentileri yakalayabilecek veya yakalayabilecek otomatik inceleme süreçleri kullanırlar. Günün sonunda, hala bir risk kaldı.

Sadece kaynaklardan addons yüklemek sen güven.

Biraz bekle; Yüklü diğer yazılımlardan bahsettiniz mi?

Elbette! Yüklü diğer yazılımların, şifrelerinizi tarayıcıdan almasını, ortadaki adam saldırılarını gerçekleştirmesini ve hatta bankacılık web sitelerinizi taklit eden bir proxy sunmasını hiçbir şey engellemez. Aynı şey Tarayıcı Eklentileri için de geçerlidir. Temel kural: Güvenemediğiniz yazılımı kurmayın.

Sonuç

Bundan ne almalısın?

• Asla güvenmediğiniz yazılımları / eklentileri / eklentileri kurmayın.
• Hala şüpheniz varsa, bir ana şifre belirleyin.
• Hala şüpheniz varsa, tarayıcınıza şifrelerle güvenmeyin, bunları asla kaydetmeyin.
• Hala şüpheniz varsa , hiçbir zaman eklenti / eklenti yüklemeyin.
• Hala şüpheniz varsa , kurcalanamayan canlı bir sistem kullanın .

Zeyilname: "Şey, duruma göre değişir ..."

Öğrenmeye geldiğimde, bu paragraftaki varsayımlarım% 100 doğru değil ve bunu düzeltmek istiyorum. Aşağıdaki bilgiler yalnızca parolaların diskte depolanması için geçerlidir.

Google Chrome / Chromium

Aslında yapar üzerinde çalıştığı işletim sistemine bağlı olarak disk üzerinde güvenli bir şekilde şifrelerinizi kaydetmesini:

Microsoft Windows

Microsoft Windows API CryptProtectData/ CryptUnprotectDataparolayı şifrelemek / şifresini çözmek için kullanılır. Bu API, OS hesabı şifrenizle çalışır, bu nedenle yalnızca bu şifre kadar güvenlidir.

Mac os işletim sistemi

MacOS katmanı, geçerli kullanıcının anahtar zincirinin parolasını temel alarak rastgele bir anahtar oluşturur ve bu anahtarı anahtarlığa ekler. Yine, bu sadece kullanıcının şifresi kadar güvenlidir.

Linux

Şey ... bunun hakkında konuşmayalım.

Tamam, bilmeniz gerekiyorsa, tam olarak varsaydıklarımı yapıyor: verileri sabit kodlu bir parola ile saklıyor. Neden böyle? Bunun nedeni, şifrelenmiş verileri diğer iki sistemle aynı şekilde işlemek için ortak bir altyapı olmamasıdır . Hayır, sadece Linux'un şifreleme sistemleri veya güvenliği olmadığını söylemedim; anahtarlığı / anahtarlık ve kullanılabilir şifre depolama çözümleri bol userspace içinde . Görünüşe göre, Chrome geliştiricileri bunlardan birini kullanmamaya karar verdi. "Neden?" cevaplayabileceğim bir soru değil.

Firefox

Her zaman şifrelerin yanında saklanan oluşturulmuş bir anahtar kullanır. İstisna, bir ana şifre belirlediyseniz, bu da kullanılacaktır.