• GIZMODO
  • FUZE
  • DIGIDAY
  • gene
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • roomie
  • machi-ya
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

ライフハッカー編集部  - ,,,,,,  11:00 AM

Chrome/FIrefoxでは自動保存のパスワードが丸見え(Chromeは今のところ対処法なし)

Chrome/FIrefoxでは自動保存のパスワードが丸見え(Chromeは今のところ対処法なし)

130812chromefirefoxpass.jpg


ギズモード・ジャパンより転載:Chromeは初めて立ち上げると面白いことが起きます。

先日Ember.jpアプリ向けの開発でChromeを使った時のことです。閲覧はSafari常用ですが、Safariは一番ファイルをキャッシュして欲しくない時に限ってキャッシュする癖があるので、時たまChromeに切り替えるんです。


130808Chrome_a.png


すると、Chromeにこんなのが出てきました。Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、と思って「Import bookmarks now(ブックマークを今すぐインポートする)」のリンクを押してみたら、こんな予想外のものが出てきたんです。



Chromeは設定画面からパスワード丸見え


130808Chrome_b.png


なぜ「保存済みパスワード」がグレイで、もうチェックしたことになってるんでしょうね? チェック外せないんじゃ、チェックボックスの意味ないよ。選べるかのように見えて実は錯覚。すごくミスリードしてる気がします。

と騒ぐのにはワケがあって、Chromeはパスワード管理がちょっとアレなんです。以下はChromeの設定画面で「保存されたパスワードの管理」を開いたところ。


130808Chrome_c.png


右に「show(表示)」ボタン。まさかね...ハハハ...と思って押すと...


130808Chrome_d.png


...ぐわー本当に表示されやがったー! マスターパスワードもなければ、セキュリティ保護もなし、「これらのパスワードは公開となります」という警告もなしで、いきなりです。信じられない人はChromeで「chrome://settings/passwords」とオムニバー(検索バー)に入力して、開いて確かめてみてください。

この話をすると、ユーザーと開発者ではすごい温度差があって、技術サイドの人からはいつもこんな反応が返ってきます。


・1Pass(パスワード管理ツール)だけ使えばいいじゃん。
・物理的にアクセスした途端、PCはどっちみちセキュアじゃなくなるしね。
・パスワード管理なんだから、そうなるの当たり前、仕様。


どの言い分も正しいのだけど、問題はそこじゃなくて、Googleがパスワードのセキュリティ保護について明示してないことなんですね。

GoogleはYouTubeのプリロール広告や看板でブラウザを宣伝してるので、対象は明らかに開発者以外。で、一般ユーザーは、まさかここまで簡単にパスワードが外に見えるなんて知らない人がほとんどだと思うんです。毎日何百万人ものユーザーがChromeを使ってパスワードを保存しているわけですから、これは良くないと思いますよ。


他人にPCを貸すのは危険です


130808Chrome_e.png


この表示はもっとミスリーディングです。OSX側には「confidential information(部外秘情報)」、「stored in your keychain(あなたのキーチェインに保存された)」とパスワードのセキュリティの現況説明が出るんですが、これが今まさにChromeが迂回しようとしているポイントで、Chromeではパスワード要求もなし自動保存のパスワードが平文でキーチェインの外に丸見えになるんですね。Chrome側でそのドメインのパスワードを自動で埋めてくれるのは便利なのですが...。

今日みなさんも試しに技術詳しくない人のところに行って、コンピュータちょっと貸してもらって、その人の見てる前でChromeで「chrome://settings/passwords」開いて、何行かパスワードの「show」ボタン押して、相手がなんて言うか反応をみてみてください。

「パスワード管理なんだから、そうなるのが当たり前」なんて言う人いないと思いますよ。


Chromeは今後もこの仕様です


以上の原稿公開後、Chromeセキュリティ部門トップのジャスティン・シャー(Justin Schuh)さんから、僕の言ってることは間違いで、今後も変更はないというお返事がありました。


Firefoxもアブナイ(対処法あり)


FireFoxも見られますね...ご指摘ありがとうございます。「Are you sure you wish to show your passwords?(本当に表示していいですか?)」の警告は出ますけど、そこでYESを押すと一括表示です(ただし、Chromeと違ってマスターパスワードで閲覧制限をかけられます)。



*本稿はエリオット・ケンバー(@elliottkember)さんがelliottkember.comに書いた記事をご本人から許可をいただいて転載しました。

関連記事:Google Chromeで保存したパスワードは丸見え!?



Elliott Kembe(原文/satomi)
Photo by Thinkstock/Getty Images.

  • ,,,,, - By

    香川博人

    LIKE

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    Sponsored

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    先日、政府は2017年度から公共料金や備品経費の支払いを全面的に電子決済にすることで、30億円の人件費削減が期待できるという発表をしました。 電子マネーやクレジットカード、ネットバンキングの普及により、私たちは現金だけではなく、時間と手間のかからない電子決済を活用する機会が増えていますが、それは企業や法人にとっても大きなメリットがあるようです。 そこで今回、現金決済から電子決済へとキャッシュレス  05:00 PM

MORE FROM LIFEHACKER

powered by
    
    
    
  

Kotaku

Recommended

© mediagene Inc.