いわゆるメーカー責任はどこまであるかは不明ですが、確かに安易にChromeにパスワードを保存すると、簡単に他人に見られる可能性は大きいですね。
つまり、席を外したところでPCをロックしておかないと、他人に見放題状態になることです!
物忘れの激しい人で、常に自分のパスワードを再確認したい人にはいいですが、そうじゃない人にはぜひ要注意ですね。
それでもう一つ気になるのは、Javascriptなどで簡単にそのパスワードを外に(例えば指定メールアドレスに)持っていかれることはできないかどうかです。
ギズモード・ジャパン 8月12日(月)12時52分配信
Chromeは初めて立ち上げると面白いことが起きます。
先日Ember.jpアプリ向けの開発でChromeを使った時のことです。閲覧はSafari常用ですが、Safariは一番ファイルをキャッシュして欲しくない時に限ってキャッシュする癖があるので、時たまChromeに切り替えるんです。
右に「show(表示)」ボタン、まさかね…。
すると、Chromeにこんなのが出てきました。Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、と思って「Import bookmarks now(ブックマークを今すぐインポートする)」のリンクを押してみたら、こんな予想外のものが出てきたんです。
なぜ「保存済みパスワード」がグレイで、もうチェックしたことになってるんでしょうね?? チェック外せないんじゃ、チェックボックスの意味ないよ。選べるかのように見えて実は錯覚。すごくミスリードしてる気がします。
と騒ぐのにはワケがあって、Chromeはパスワード管理がちょっとアレなんです。Chromeの設定画面で「保存されたパスワードの管理」を開いたところ。右に「show(表示)」ボタン。まさかね…ハハハ…と思って押すと…
…ぐわー本当に表示されやがったーーー!!! マスターパスワードもなければ、セキュリティ保護もなし、「これらのパスワードは公開となります」という警告もなしで、いきなりです。信じられない人はChromeでchrome://settings/passwords開いて確かめてみてください。
この話をすると、ユーザーと開発者ではすごい温度差があって、技術サイドの人からはいつもこんな反応が返ってきます。
・1Passだけ使えばいいじゃん。
・そりゃ物理的にアクセスした途端コンピュータはどっちみちセキュアじゃなくなるしね。
・パスワード管理なんだから、そうなるの当たり前、仕様。
どの言い分も正しいのだけど、問題はそこじゃなくて、グーグルがパスワードのセキュリティ保護について明示してないことなんですね。
グーグルはYouTubeのプリロール広告や看板でブラウザを宣伝してるので、対象は明らかに開発者以外。で、一般ユーザーは、まさかここまで簡単にパスワードが外に見えるなんて知らない人がほとんどだと思うんです。毎日何百万人ものユーザーがChromeを使ってパスワードを保存しているわけですから、これは良くないと思いますよ。
この表示はもっとミスリーディングです。OSX側には「confidential information(部外秘情報)」、「stored in your keychain(あなたのキーチェインに保存された)」とパスワードのセキュリティの現況説明が出るんですが、これが今まさにChromeが迂回しようとしているポイントで、Chromeではパスワード要求もなし自動保存のパスワードが平文でキーチェインの外に丸見えになるんですね。Chrome側でそのドメインのパスワードを自動で埋めてくれるのは便利なのですが…。
今日みなさんも試しに技術詳しくない人のところに行って、コンピュータちょっと貸してもらって、その人の見てる前でChromeでchrome://settings/passwords開いて、何行かパスワードの「show」ボタン押して、相手がなんて言うか反応をみてみてください。
「パスワード管理なんだから、そうなるのが当たり前」なんて言う人いないと思いますよ。
---
以上の原稿公開後、Chromeセキュリティ部門トップのジャスティン・シャー(Justin Schuh)さんから、僕の言ってることは間違いで、今後も変更はないというお返事がありました。
http://headlines.yahoo.co.jp/hl?a=20130812-00010007-giz-prod
0 件のコメント:
コメントを投稿