多くのブラウザ拡張機能やプラグインが「すべてのデータ」へのアクセスを必要とするケースがますます増えています(ChromeとFirefoxの両方で、Internet Explorerについてはコメントしません)。
これらのプラグインやアドオンが、たとえば、アクセスしたときに私のバンキングデータにアクセスしたり、フォームから送信されたデータにアクセスしたりできるかどうか疑問に思っています。
アドオンのセキュリティへの影響は何ですか?
多くのブラウザ拡張機能やプラグインが「すべてのデータ」へのアクセスを必要とするケースがますます増えています(ChromeとFirefoxの両方で、Internet Explorerについてはコメントしません)。
これらのプラグインやアドオンが、たとえば、アクセスしたときに私のバンキングデータにアクセスしたり、フォームから送信されたデータにアクセスしたりできるかどうか疑問に思っています。
アドオンのセキュリティへの影響は何ですか?
回答:
この投稿は、FirefoxおよびChromium / Google Chromeにのみ適用されます。Internet Explorer、Opera、モバイルブラウザについてコメントできません。また、下の方の数学は間違っているかもしれませんが、基本的な考え方は正しいです。
もちろん、これは可能ですが、FirefoxとChrome / Chromiumの場合はそうではありません。
この答えは私のお気に入りの1つです。重要なものを満たすために、ブラウザの必要性によって保存されたパスワード、および、セキュリティの観点から、悪夢のような、条件:彼らはする必要が平文平文または元に戻せ。
なぜそれが悪いのですか?さて、誰かがサーバーに侵入してパスワードデータベースを盗むと想像してください。次の2つの結果が考えられます。
ブラウザはパスワードをウェブサイトに送信できる必要があるため、パスワードをハッシュすることはできず、暗号化しかできません(またはプレーンテキストとして保存することもできます)。これは常に心に留めておかなければならないことです(メールクライアント、チャットアプリケーションなどでも同じです)。
Firefoxでは、デフォルトでパスワードを保存できます。また、それらを暗号化します。同じことがChromiumにも当てはまります(付録「まあ、状況によります...」を参照)。これの問題は、復号化のキーがパスワードとともに保存されることです。これは、暗号化を、あなたのパスワードを望んでいて、決してそれらを止めない人にとって、ちょっとした不便にします。
そうです、パスワードをより安全にするために、暗号化されたパスワードからキーを遠ざける必要があります。これは、Firefoxでマスターパスワードを設定することによって行われます。マスターパスワードは、すべてのパスワードの暗号化と復号化に使用されます。この手法を使用して、暗号化されたデータからキーを分離します。これは常に良いアイデアです(結局のところ、玄関のドアの鍵をドアの前の外側のフックに置いているわけではありませんよね?)。
だから、なぜ私はあなたのパスワードが今であることを先に言った方が安全ではなく、安全な?今あなたのパスワードの安全性はあなたが選んだパスワードに依存しているからです。つまり、パスワード「asdf」は決して安全であると考えるべきではありません。どちらも「12345」ではありません。強力なパスワードは、総当りで強制するとかなりの時間がかかるため、長いです。パスワード「VioletIsAnotherColor」は、2番目の文字に特殊文字が含まれているにもかかわらず、その長さのため「D0!l4riZe」よりも技術的に安全です。それを簡単に見てみましょう。
"VioletIsAnotherColor"
長さ:20
可能な文字:52(26小文字+ 26大文字)"D0!l4riZe"
長さ:9
可能な文字:77(下26 +上26 + 10桁+スペシャル15)
スペシャル:! "@ $%&/()=?* +#-
では、文字セットと長さを知って、それらのパスワードを破るには何回試行する必要があるのでしょうか。
"VioletIsAnotherColor"
52 20 =〜20デシロン(〜2×10 34)"D0!l4riZe"
77 9 =〜95兆(〜9×10 16)
ご覧のように、後者のパスワードは、文字セットが広いにも関わらず、文字数が限られている長いパスワードよりもブルートフォースが簡単です。これは長さのためです。(もう1つの利点は、最初の方が覚えやすいことです。)この問題の詳細については、このITセキュリティの質問を参照してください。
したがって、可能であれば、パスワードではなくパスフレーズを使用してください。
そうではありません。これは、アドオンが今アクセスしたWebサイトにアクセスできるためです。入力したパスワードなどの情報をそこから抽出できます。アドオンは、インストールされている他のソフトウェアと同様にセキュリティリスクです。信頼できるアドオンのみをインストールしてください。
信頼できるソースからのアドオンのみをインストールしてください。Firefoxの場合はアドオンページ、Chromiumの場合はChromeウェブストア、または作成者/配布者を信頼している場合。どちらも、アドオンがチェックされ、安全であることを保証します。
どちらもMozillaのアドオンのページでもChromeウェブストアには、アドオンが安全であることをどのような方法で保証されています。彼らは悪意のあるアドオンを捕まえるかもしれないし、捕まえるかもしれない自動化されたレビュープロセスを採用しています。結局のところ、リスクは残っています。
信頼できるソースからのアドオンのみをインストールしてください。
もちろん!インストールされている他のソフトウェアがブラウザからパスワードを取得したり、中間者攻撃を実行したり、銀行のWebサイトを偽装するプロキシを提供したりすることを妨げるものはありません。ブラウザプラグインも同様です。原則として、信頼できないソフトウェアはインストールしないでください。
これから何を取り除くべきですか?
私が学んだように、この段落の私の仮定は100%正確ではありません。それを修正したいと思います。次の情報は、ディスク上のパスワードの保存にのみ適用されます。
これは、実際に行い、それが実行されているオペレーティングシステムに応じて、ディスク上の安全な方法でパスワード保存します。
Microsoft Windows API CryptProtectData/ CryptUnprotectDataは、パスワードの暗号化/復号化に使用されます。このAPIはOSアカウントのパスワードで機能するため、そのパスワードと同じくらい安全です。
MacOSのレイヤーは、現在のユーザーのキーチェーンのパスワードに基づいてランダムなキーを生成し、そのキーをキーチェーンに追加します。繰り返しますが、これはユーザーのパスワードと同じくらい安全です。
まあ...それについて話をしましょう。
さて、あなたが知る必要があるなら、それは私が想定したことを正確に行います:それはハードコードされたパスワードでデータを保存します。これはなぜですか?単に、他の2つのシステムへの方法で暗号化されたデータを処理するための共通のインフラストラクチャがないためです。いいえ、Linuxには暗号化システムやセキュリティが欠けていると言っただけではありません。ユーザー空間で利用できるキーリング/キーチェーンとパスワードのストレージソリューションはたくさんあります。どうやら、Chrome開発者はそれらの1つを使用しないことに決めました。"なぜ?" 答えられる質問ではありません。
常にパスワードとともに保存される生成されたキーを使用します。例外は、マスターパスワードを設定した場合で、これも使用されます。
VioletIsAnotherColor対についてD0!l4riZe。最初の方は技術的に強力です... 総当たり攻撃を使用している場合。ただし、別の種類の攻撃は辞書攻撃であり、ランダムな文字と数字、辞書内の単語、およびそれらの単語の組み合わせではなく、攻撃者が規則的に通過します。 VioletIsAnotherColor〜12億の可能性の範囲内でクラックされる可能性があります。技術的ですべてのことですが、注目に値します。(とにかく、+ 1):)