диалог о паролях и взломе (компьютерное)

avva — 31.12.2009 Юзер: Сегодня я узнал, к своему ужасу, что в Файрфоксе можно легко увидеть все пароли, которые он запомнил для меня на разных сайтах. Для этого всего-то надо нажать на одну кнопку в диалоге конфигурации.

Разработчик: Конечно. Не понимаю, почему тебя это удивляет. Ведь Файрфокс хранит эти пароли в открытом тексте - чтобы передавать их вместо тебя сайтам. Почему бы заодно не показать тебе? Это может иногда пригодиться.

Юзер: Но это значит, что любой человек, который получает доступ к моему компьютеру даже на несколько секунд, может увидеть все мои пароли. Вреда от этого намного больше, чем пользы от удобного способа увидеть пароль, который все равно и так за меня автоматически набирается. Уберите эту опцию!

Разработчик: Не уберем. Если ты подозреваешь кого-то в том, что он хочет подсмотреть твои пароли, просто не пускай его к своему компьютеру. Если пустил, то он сможет прочитать твои пароли и без этой опции.

Юзер: Да, но это будет не так легко, и не займет несколько секунд! Это потребует от него каких-то технических знаний. Меня не волнует то, что опытный хакер сможет скопировать мои пароли, меня волнует, что их может прочитать вообще кто угодно.

Разработчик: Опытный хакер? Не смеши мои тапочки. Всего-то и надо, что знать, какой файл найти, и скопировать его через сеть к себе. У меня это займет меньше полминуты, не сомневаюсь. А потом можно его раскрыть у себя и посмотреть все пароли.

Юзер: Извини, но мы говорим не о тебе. Тебя я и так к своему компьютеру не пущу. В контексте этой дискуссии тебя можно считать опытным хакером. Я просто не хочу, чтобы за несколько нажатий на клавиши все мои пароли мог увидеть, скажем, шапочный приятель во время вечеринки у меня дома, чтобы потом просмотреть мою почту или шутки ради изменить что-то в моем Фейсбуке. Я такие шутки не люблю и мне этого не хочется.

Разработчик: Вообще-то я бы не приглашал к себе домой кого-то, кого подозреваю в желании прочитать мой пароль. Но раз уж ты настаиваешь, у меня есть для тебя решение: в том же диалоге ты можешь выставить Master Password, и теперь, не зная его, никто не сможет посмотреть твои пароли на разных сайтах.

Юзер: Но тогда мне самому придется помнить этот пароль и вводить его каждый раз, когда я открываю Файрфокс. Ты же понимаешь, что я изначально включил опцию запоминания паролей на сайтах не для того, чтобы помнить пароли, а чтобы избавиться от них!

Разработчик: Что-то я не пойму, чего ты хочешь. Ты хочешь защитить себя от кражи паролей или нет? Если да, защити их с помощью Master Password и ходи спокойно. Если нет - не жалуйся, когда их кто-то подсмотрит. Чего ты от меня хочешь-то?

Юзер: Я хочу, чтобы ты понял, что даже когда пароли не зашифрованы на диске, есть разница между ситуацией, когда их легко увидеть за три секунды через меню, и когда для этого нужно специальные знания и умения. Между ситуацией, когда это можно представить в виде шутки, внезапного порыва - и когда это иначе как злонамеренным взломом не назвать. Мне не настолько важно защитить мои пароли, чтобы возиться с еще одним дополнительным - но настолько, что я не хочу дать любому, у кого есть доступ к моему компьютеру, тривиальный способ увидеть их за три секунды.

Разработчик: Ты сильно преувеличиваешь разницу между этими двумя ситуациями. Подумай: если бы не было тривиальной опции увидеть пароли в меню, давно бы кто-то написал программу, которая бы автоматически все делала - находила нужный файл, читала пароли и показывала тебе. Все равно они не могут быть надежно зашифрованы! Так лучше уж так, когда все открыто и всем известно.

Юзер: Все открыто и всем известно? Я пользуюсь Файрфоксом пять лет, но о том, что за три секунды можно увидеть все мои пароли, узнал сегодня.

Разработчик: И тем не менее эта опция была в меню все это время. Наша ли вина в том, что тебе было неинтересно заглянуть туда и разобраться в своих настройках?

Юзер: Да и гипотетическая программа, о которой ты говоришь - все равно бы о ней не знали все, верно? А только те, кто и так заинтересован в взломе паролей. Я же хочу защититься от обычных людей, не хакеров, не злоумышленников. Как ты этого не понимаешь? Если я улетаю в отпуск, что лучше - оставить дверь дома открытой настеж или закрыть ее, не запирая на замок? Я всего лишь хочу, чтобы дверь была прикрытой.

Разработчик: Ты снова и снова не видишь, что никакой реальной защиты тебе это не даст. В профессиональном мире это называется "защита нагнетанием тумана" (security through obscurity). Это не работает, и только дает тебе ложную иллюзию защищенности. Мы не верим в ложные иллюзии. Если ты хочешь защитить свой дом, сделай мне одолжение, и запри дверь на замок!

Юзер: ...

Разработчик: ...

---

А вы как думаете?

P.S. Источник. (англ.)

Оставить комментарий

Популярные посты:

• Ранее
• Архив