パスワードを忘れた? アカウント作成
9723925 story
Chrome

ChromeでSafariに保存されているパスワードをインポートすると、平文で簡単に閲覧できる 39

ストーリー by hylom
ゆとり仕様 部門より

あるAnonymous Cowardのタレコミより。Google ChromeでSafariからのパスワードを含む設定インポートを行うと、Safariに保存されていたパスワードがChromeで平文で閲覧できてしまうという問題があるそうだ(Chrome’s insane password security strategy三重大学・奥村晴彦教授のTweet)。

Chromeのパスワードマネージャ機能では、通常パスワードは「●」でマスクされて表示されているが、その脇に表示される「Show」ボタンをクリックすると平文での閲覧ができてしまうという。また、Mac版のChromeではパスワードの保存にkeychain(OS X標準のパスワードマネージャ)を使わず、Chromeの設定ファイル中にパスワードを保存するにもかかわらずあたかもkeychainを使っているかのように受け取れるメッセージを表示する点についても問題視されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Chromeのパスワードマネージャ機能では、通常パスワードは「●」でマスクされて表示されているが、その脇に表示される「Show」ボタンをクリックすると平文での閲覧ができてしまうという。

    うん、そうなんだけど…何か問題があるの? ショルダーハックとかの恐れがあってマスクされているパスワードを画面に表示したくなかったら、当然 Show ボタンを押すべきではない、というだけだと思うんだけど。

    また、Mac版のChromeではパスワードの保存にkeychain(OS X標準のパスワードマネージャ)を使わず、Chromeの設定ファイル中にパスワードを保存するにもかかわらずあたかもkeychainを使っているかのように受け取れるメッセージを表示する点についても問題視されている。

    こっちはまったく別の問題で、よく知らないのでコメントしない。

    • by Anonymous Coward on 2013年08月08日 13時50分 (#2437048)

      つまり、こういうことでしょ。

      ・[Chromeのパスワードマネージャー]はマスターパスワードを設定できない
      ・[keychain]はマスターパスワードを設定できる

      だから、[keychain]がロックされていない状態でChromeをインストールすると、Chromeがパスワードを取り込み、しかも、それがマスターパスワードで保護されない、という状況になる。

      その後、[keychain]をロックして安心して離席すると、[Chromeのパスワードマネージャー]からは(視覚的に)各種のパスワードが盗まれうる。Chromeはその点を警告しないばかりか、別の個所ではまるで[keychain]で保護されているかのようにメッセージを出す。

      言いたいことは分かったけど、この記事を読んだだけでは分からなかった。奥村先生のtweetも何のことかわからない。私は、MacもChromeも使っていないんで、当初はChromeの振る舞いの何が問題なのか全く理解できなかった。

      親コメント
      • by Anonymous Coward on 2013年08月08日 21時12分 (#2437388)

        自己レスだけど、Chrome側から反論が来ている。
        https://news.ycombinator.com/item?id=6166731 [ycombinator.com]

        Consider the case of someone malicious getting access to your account. Said bad guy can dump all your session cookies, grab your history, install malicious extension to intercept all your browsing activity, or install OS user account level monitoring software. My point is that once the bad guy got access to your account the game was lost, because there are just too many vectors for him to get what he wants.

        つまり、マルウェアを仕掛けたら、その時にkeychainがロックされていようがいまいが、パスワードはいずれ漏洩する。パソコンに物理的なアクセスを許した時点で、パスワードの漏洩を防ぐ手段はない。そういう意味では、「keychain]でマスターパスワードを設定しておけば、それを盗む手段がない」と誤解させる分、keychainや他のマスターパスワードは罪深い、と言える。[keychain]をロックしてから席を立ったから安全だ、ということはない。ログアウト、あるいは画面ごとロックするまでは何も信用できない。

        まあ、マルウェアを仕掛ける手間を安いと見るか高いと見るか、ってことだね。一見、素人にマルウェアを仕掛けるのはハードルが高いような気もするけれど、例えば、配布サイトなどが用意されていたら、おそらく数十秒の操作で完了する。下手すると、URLバーに<chrome://settings/passwords>って打つよりも簡単かもしれない。だから、他人に触られたら、どんなパスワードマネージャーを使っていても、もう漏れたと考えた方がいい。

        親コメント
        • by Anonymous Coward on 2013年08月08日 22時06分 (#2437424)

          言いたいことはわかる。確かにマルウェアを仕掛けられたら終わりかもしれない。でもそうじゃないかもしれない。

          そういう意味では、「keychain]でマスターパスワードを設定しておけば、それを盗む手段がない」と誤解させる分、keychainや他のマスターパスワードは罪深い、と言える。

          これは言い過ぎだと思うんだよな。これ言い出すと、普通のwebのパスワードも、例え暗記していても、マルウェアを仕掛けられた時点で漏洩し、他人がログイン出来る可能性があるわけだが、それをして「webのパスワードは他人が使えないと誤解させるから罪深い」とは言わないと思うんだよな。
          マルウェアを仕掛けるハードルの話があるが、漏れるまでの時間的な話もある。
          仕掛ける側として、そこまで待っても入手したいほどなのか、そういう後々を前提としたマルウェア、痕跡の残るものを入れてまでなのか、という点。空き巣と同じで手間をかけてまではしないかもしれない。単に残らないツールでその時得られる情報だけ得るかもしれない。また、仕掛けられる側としても、漏れるまでの間に発覚して事無きを得る可能性もある。出来心の犯行を抑止できる。
          等々、予防策として少しでも確率を下げるという機能は果たすと思うのだが。それが多層防御ってもんだと思うのだが。

          親コメント
          • by Anonymous Coward

            システマティックに論じるのを「論理的なセキュリティ」とすれば、いわば「心理的なセキュリティ」ってところですかね。

            世の中の、フィッシングなどに代表される、マズい漏洩の仕方は、「心理的なセキュリティ」の裏側をついてくるものばかりです。つまり、そういうことを仕掛けてくる人にとって、「心理的なセキュリティ」はないも同然です。だから、「多層防御されている」や「マスターパスワードの突破にはある程度時間がかかるはず」という意識そのものが問題だと思います。

            「特権」という概念は、むしろ、安全性を簡単に判断するために考え出されたものです。その特権で保障されていないことを期待す

    • by Anonymous Coward

      keychainで管理しててもchromeインストールするとマスターパスワード不要で簡単にパスワード抜けるよってことじゃないの?
      未インストールでも離席中にインストールして抜いたり出来そうですけど。

      • by Anonymous Coward

        それってマスターパスワード設定しても抜けるってこと?
        おもいっきり脆弱性じゃないですか。chromeがkeychain使わないのは正解ってことじゃ。

        • by Anonymous Coward

          これって、keychaine の静寂性と言うよりは、単純に chrome にキーチェインのアクセスを最初に許可してしまっているからじゃない?ユーザーの責任かと。

          • by Anonymous Coward on 2013年08月08日 9時41分 (#2436896)

            エアコンが静かでいいなぁ

            親コメント
            • by Anonymous Coward

              PCのファンも静寂性に影響します

          • by Anonymous Coward

            じゃなくて「keychainを使ってないくせに使ってるようなダイアログを出してる」んだよ
            使って抜けるよりたち悪い。

            keychainに格納されてるならまだしも、格納されてなくて独自に持ってるのがうんこーって話だ
            OSXのkeychainは実際全く関係ない

            • by Anonymous Coward

              Google chrome が keychain のフリをしてパスワードを収集する問題と、chrome が safari のインポート時に keychain からパスワードを集める問題とは別じゃない?

        • by Anonymous Coward

          1:chromeがSafariからインポートしたパスワードは、chromeで、chrome://settings/passwordsを表示させるだけで、マスターパスワードなどを入力すること無く表示できる。
          要するに、Macでchromeが使える状態になっていれば、だれでもパスワード見放題。

          2:Mac標準のkeychainを使っているわけではないのに、ダイアログにkeychainの文言があり、誤解される可能性がある。

          この2つが問題だということでしょう。
          どちらもchromeの仕様の問題ですね。

          • by Anonymous Coward

            だからマスターパスワード無しで抜けるsafari/keychainが問題なのであって、マスターパスワード無しで抜いたデータをマスターパスワード無しで表示できる事にはさほどの問題はない。
            っていうか本当にマスターパスワード設定しても抜けるの?単に設定されてなかっただけじゃ?

            • by Anonymous Coward

              ・Chromeがkeychainにアクセスする際に認証が必要
              ・そもそもChromeがkeychainのsafariアカウントへアクセスできるの?

              ってことを考えると、そもそもこの話、importする前段階でなんか手順があると思うんですけどね
              なんか重要な部分が抜けたまま議論だけ進んでる気がする

              もしkeychain/safariから別アプリがマスターパスワードの認証無しに抜ける手段があるなら
              keychainがザルすぎてAppleどうにかしろよ!って話なんだけど…今更そんなことあるかなぁ

              • by Anonymous Coward

                ・Safariも独自に平文で保管してる。(それをChromeが引っ張ってきてる)
                ・ユーザが事前にChromeに対してKeychainへのアクセスを許可している。

                のどちらかだよねぇ。
                明示的にKeychainをロックしても抜けるなら前者のSafariの問題かKeychainがザルってことだけど。
                誰か試してみてよ。うちではChrome動かない。

    • by Anonymous Coward

      ITMediaに似た話題があったけど、showボタンが誰でも押せるってのが問題なんじゃないかね。
      さんざん言われてるけど。

      1分離席の隙を見せれば同僚に抜かれる
      PCが完全に落ちてない状態で帰宅すると大した知識がない掃除夫にすら抜かれる
      共有マシンでぽちっとするといろいろ抜かれる

      うわぁどんどん敷居が下がるぞぉ

      • by Anonymous Coward

        ログオンもせずに抜けるってこと?
        どっちかっていうと管理の問題じゃ・・・

      • by Anonymous Coward

        ×敷居
        ○ハードル

        • by Anonymous Coward

          敷居でもいいと思うよ。△ぐらいにしてあげなさい。

          • by Anonymous Coward

            敷居ACだけど完全に皮肉のつもりだったよw
            ×が正だと思うよ

      • by Anonymous Coward

        それは、職場の人に漏れちゃ困るパスワードを職場のPCに覚えさせてるのがそもそもの誤りな気がする。

  • by Anonymous Coward on 2013年08月08日 8時15分 (#2436870)

    パスワードが無許可でエクスポート(含外部参照)出来るSafariだろ…

    • by t-wata (10969) on 2013年08月08日 15時18分 (#2437134) 日記

      確かに、Chromeじゃ無くても、パスワード抜くだけのツールとか作れちゃうって事だからねぇ。

      親コメント
    • by Anonymous Coward

      firefoxもchromeも外部参照できるよ。
      マスターパスワード設定しなければ難読化だもん。
      キーが無いのに暗号化出来ないよ。
      IEも似たようなもの。
      パスワードなしに保存するってそういうことでしょ?

      #マスターパスワード設定しても抜けるなら問題
      #あと、抜けない素振りで実は抜けるってのも問題

    • by Anonymous Coward

      もっと大事なものが漏えいしうることに気付いていないユーザーの頭じゃねーかな

    • by Anonymous Coward

      はあ?
      一番悪いのはパスワードをマスターパスワードで保護しないChromeだろ。
      なのにChromeは無罪放免でSafariに罪を擦り付けるのかよ。

      • by Anonymous Coward

        デフォルトでマスターパスワードによる保護が無いのはfirefoxもoperaも。
        safari/keychainもデフォルトはログイン時に自動アンロック。
        IE/windowsも大体同様。

        平文閲覧可能なのもkeychain含めIE以外は同じ。
        そしてこれは、パスワード無しでアプリは簡単にアクセス出来るのに、ユーザは閲覧できない/復号出来なさそうに見える方が問題あると思う。

        あと、chromeは初回にパスワードを含むいくつかの項目をインポートするか聞いてる。

        なので問題はkeychainを使ってないのに使ってるかのように誤解させた所だけじゃないだろうか。
        他に

        • by Anonymous Coward

          長々とChrome擁護乙。
          「デフォルトで保護しない」と「そもそも保護機能がない」では大違いなんだけど、わかりますか?
          つまりあなたは「デフォルトで保護しないから保護機能を使わない」人たちと同レベルってことですか?

          ともあれ、Lastpass拡張使うのが吉かな。
          複数のPC、複数のブラウザ使ってる場合に共有するのが簡単だし、特にChromeはこういう有様なので。

          • by Anonymous Coward

            「デフォルトで保護しない」と「そもそも保護機能がない」では大違いなんだけど、わかりますか?

            ぐぬぬ
            chromeってそもそもマスターパスワード設定できないのか……
            #マスターパスワード設定しようと思えば気付くが、最低限警告は必要だなぁ

            • by Anonymous Coward

              むしろApple文化に毒されずにすんでよかったねって、感謝せねば。

              • by Anonymous Coward

                アクロバットApple叩きコンテストはいいから

              • by Anonymous Coward

                Apple 文化はどうでもいいのだが、OS で keychain のような仕組みを標準で実装しているのは大切だと思うよ。
                Chrome 独自で管理するセンスよりマシ。
                Chrome を OS と捕らえるならそれもありかもしれないが。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...