Все о приеме у гнатолога: от диагностики до лечения 
начало января 
Алые гвоздики товарищу Сталину. 
Ситиполия-Ижевск 
Не ушёл 
"Утренние лучи солнца в красном ущелье" 
Два губернатора 
Как отмечали Новый год и Рождество в Российской империи до революции 
Вечернее
29.12.2009 —
израильское
диалог о паролях и взломе (компьютерное)
avva — 31.12.2009
Юзер: Сегодня я узнал, к своему ужасу, что в Файрфоксе можно легко
увидеть все пароли, которые он запомнил для меня на разных сайтах.
Для этого всего-то надо нажать на одну кнопку в диалоге
конфигурации.Разработчик: Конечно. Не понимаю, почему тебя это удивляет. Ведь Файрфокс хранит эти пароли в открытом тексте - чтобы передавать их вместо тебя сайтам. Почему бы заодно не показать тебе? Это может иногда пригодиться.
Юзер: Но это значит, что любой человек, который получает доступ к моему компьютеру даже на несколько секунд, может увидеть все мои пароли. Вреда от этого намного больше, чем пользы от удобного способа увидеть пароль, который все равно и так за меня автоматически набирается. Уберите эту опцию!
Разработчик: Не уберем. Если ты подозреваешь кого-то в том, что он хочет подсмотреть твои пароли, просто не пускай его к своему компьютеру. Если пустил, то он сможет прочитать твои пароли и без этой опции.
Юзер: Да, но это будет не так легко, и не займет несколько секунд! Это потребует от него каких-то технических знаний. Меня не волнует то, что опытный хакер сможет скопировать мои пароли, меня волнует, что их может прочитать вообще кто угодно.
Разработчик: Опытный хакер? Не смеши мои тапочки. Всего-то и надо, что знать, какой файл найти, и скопировать его через сеть к себе. У меня это займет меньше полминуты, не сомневаюсь. А потом можно его раскрыть у себя и посмотреть все пароли.
Юзер: Извини, но мы говорим не о тебе. Тебя я и так к своему компьютеру не пущу. В контексте этой дискуссии тебя можно считать опытным хакером. Я просто не хочу, чтобы за несколько нажатий на клавиши все мои пароли мог увидеть, скажем, шапочный приятель во время вечеринки у меня дома, чтобы потом просмотреть мою почту или шутки ради изменить что-то в моем Фейсбуке. Я такие шутки не люблю и мне этого не хочется.
Разработчик: Вообще-то я бы не приглашал к себе домой кого-то, кого подозреваю в желании прочитать мой пароль. Но раз уж ты настаиваешь, у меня есть для тебя решение: в том же диалоге ты можешь выставить Master Password, и теперь, не зная его, никто не сможет посмотреть твои пароли на разных сайтах.
Юзер: Но тогда мне самому придется помнить этот пароль и вводить его каждый раз, когда я открываю Файрфокс. Ты же понимаешь, что я изначально включил опцию запоминания паролей на сайтах не для того, чтобы помнить пароли, а чтобы избавиться от них!
Разработчик: Что-то я не пойму, чего ты хочешь. Ты хочешь защитить себя от кражи паролей или нет? Если да, защити их с помощью Master Password и ходи спокойно. Если нет - не жалуйся, когда их кто-то подсмотрит. Чего ты от меня хочешь-то?
Юзер: Я хочу, чтобы ты понял, что даже когда пароли не зашифрованы на диске, есть разница между ситуацией, когда их легко увидеть за три секунды через меню, и когда для этого нужно специальные знания и умения. Между ситуацией, когда это можно представить в виде шутки, внезапного порыва - и когда это иначе как злонамеренным взломом не назвать. Мне не настолько важно защитить мои пароли, чтобы возиться с еще одним дополнительным - но настолько, что я не хочу дать любому, у кого есть доступ к моему компьютеру, тривиальный способ увидеть их за три секунды.
Разработчик: Ты сильно преувеличиваешь разницу между этими двумя ситуациями. Подумай: если бы не было тривиальной опции увидеть пароли в меню, давно бы кто-то написал программу, которая бы автоматически все делала - находила нужный файл, читала пароли и показывала тебе. Все равно они не могут быть надежно зашифрованы! Так лучше уж так, когда все открыто и всем известно.
Юзер: Все открыто и всем известно? Я пользуюсь Файрфоксом пять лет, но о том, что за три секунды можно увидеть все мои пароли, узнал сегодня.
Разработчик: И тем не менее эта опция была в меню все это время. Наша ли вина в том, что тебе было неинтересно заглянуть туда и разобраться в своих настройках?
Юзер: Да и гипотетическая программа, о которой ты говоришь - все равно бы о ней не знали все, верно? А только те, кто и так заинтересован в взломе паролей. Я же хочу защититься от обычных людей, не хакеров, не злоумышленников. Как ты этого не понимаешь? Если я улетаю в отпуск, что лучше - оставить дверь дома открытой настеж или закрыть ее, не запирая на замок? Я всего лишь хочу, чтобы дверь была прикрытой.
Разработчик: Ты снова и снова не видишь, что никакой реальной защиты тебе это не даст. В профессиональном мире это называется "защита нагнетанием тумана" (security through obscurity). Это не работает, и только дает тебе ложную иллюзию защищенности. Мы не верим в ложные иллюзии. Если ты хочешь защитить свой дом, сделай мне одолжение, и запри дверь на замок!
Юзер: ...
Разработчик: ...
А вы как думаете?
P.S. Источник. (англ.)
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
Архив записей в блогах:
Президент крупнейшей медицинской страховой компании США United Healthcare Brian Thompson был застрелен в среду возле отеля Hilton в результате «дерзкого, целенаправленного нападения» использовавшего огнестрельное оружие с глушителем, сообщила полиция. В Брайана Томпсона, 50 лет, ...
Вчера мы пристроили Ластика! Все получилось совершенно случайно. Одни знакомые знакомых сказали, что заберут кота после майских. А вчера позвонили с утра и... отказались. Я прорыдала весь день, ведь других вариантов у нас просто не ...
Неделя пролетела, а я только опомнилась. Все потому, что я вышла на работу. После 4,5 месяцев безделья я летаю, как будто вышла первый день. Как же я ее все - таки люблю! И опять куда - то бежать, все успеть, тысяча звонков и встреч, вечером с трудом ...
Или почему военный оркестр Шотландии в сильный ветер не играет. Вокруг военных оркестров ходит множество баек и небылиц. Сегодня, в день военно-оркестровой службы некоторые из них можно развеять. В частности, про упомянутый выше шотландский оркестр. Дело в том, что волынщик ...
Your examination results for the December 2012 session issued on 08-FEB-13 are: Paper Details: F7 INT Fin. Rep. Result: Absent Mark: Paper Details: F9 Fin. Man. Result: Pass Mark: 58 Я сдала Финансовый менеджмент! Ура! По-прежнему, ни одного заваленного экзамена )) даже с младенцем. Этот экзамен я сдала благодаря моей сестре, ...
