ギズモード・ジャパンより転載:Chromeは初めて立ち上げると面白いことが起きます。
先日Ember.jpアプリ向けの開発でChromeを使った時のことです。閲覧はSafari常用ですが、Safariは一番ファイルをキャッシュして欲しくない時に限ってキャッシュする癖があるので、時たまChromeに切り替えるんです。
すると、Chromeにこんなのが出てきました。Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、と思って「Import bookmarks now(ブックマークを今すぐインポートする)」のリンクを押してみたら、こんな予想外のものが出てきたんです。
Chromeは設定画面からパスワード丸見え
なぜ「保存済みパスワード」がグレイで、もうチェックしたことになってるんでしょうね? チェック外せないんじゃ、チェックボックスの意味ないよ。選べるかのように見えて実は錯覚。すごくミスリードしてる気がします。
と騒ぐのにはワケがあって、Chromeはパスワード管理がちょっとアレなんです。以下はChromeの設定画面で「保存されたパスワードの管理」を開いたところ。
右に「show(表示)」ボタン。まさかね...ハハハ...と思って押すと...
...ぐわー本当に表示されやがったー! マスターパスワードもなければ、セキュリティ保護もなし、「これらのパスワードは公開となります」という警告もなしで、いきなりです。信じられない人はChromeで「chrome://settings/passwords」とオムニバー(検索バー)に入力して、開いて確かめてみてください。
この話をすると、ユーザーと開発者ではすごい温度差があって、技術サイドの人からはいつもこんな反応が返ってきます。
・1Pass(パスワード管理ツール)だけ使えばいいじゃん。
・物理的にアクセスした途端、PCはどっちみちセキュアじゃなくなるしね。
・パスワード管理なんだから、そうなるの当たり前、仕様。
どの言い分も正しいのだけど、問題はそこじゃなくて、Googleがパスワードのセキュリティ保護について明示してないことなんですね。
GoogleはYouTubeのプリロール広告や看板でブラウザを宣伝してるので、対象は明らかに開発者以外。で、一般ユーザーは、まさかここまで簡単にパスワードが外に見えるなんて知らない人がほとんどだと思うんです。毎日何百万人ものユーザーがChromeを使ってパスワードを保存しているわけですから、これは良くないと思いますよ。
他人にPCを貸すのは危険です
この表示はもっとミスリーディングです。OSX側には「confidential information(部外秘情報)」、「stored in your keychain(あなたのキーチェインに保存された)」とパスワードのセキュリティの現況説明が出るんですが、これが今まさにChromeが迂回しようとしているポイントで、Chromeではパスワード要求もなし自動保存のパスワードが平文でキーチェインの外に丸見えになるんですね。Chrome側でそのドメインのパスワードを自動で埋めてくれるのは便利なのですが...。
今日みなさんも試しに技術詳しくない人のところに行って、コンピュータちょっと貸してもらって、その人の見てる前でChromeで「chrome://settings/passwords」開いて、何行かパスワードの「show」ボタン押して、相手がなんて言うか反応をみてみてください。
「パスワード管理なんだから、そうなるのが当たり前」なんて言う人いないと思いますよ。
Chromeは今後もこの仕様です
以上の原稿公開後、Chromeセキュリティ部門トップのジャスティン・シャー(Justin Schuh)さんから、僕の言ってることは間違いで、今後も変更はないというお返事がありました。
Firefoxもアブナイ(対処法あり)
FireFoxも見られますね...ご指摘ありがとうございます。「Are you sure you wish to show your passwords?(本当に表示していいですか?)」の警告は出ますけど、そこでYESを押すと一括表示です(ただし、Chromeと違ってマスターパスワードで閲覧制限をかけられます)。
*本稿はエリオット・ケンバー(@elliottkember)さんがelliottkember.comに書いた記事をご本人から許可をいただいて転載しました。
関連記事:Google Chromeで保存したパスワードは丸見え!?
Elliott Kembe(原文/satomi)
Photo by Thinkstock/Getty Images.
