Браузер Vivaldi хранит пароли в открытом виде

в 9:45, , рубрики: plaintext, vivaldi, браузеры, информационная безопасность, пароли

Прошёл почти месяц, как я открыл в шестнадцатеричном редакторе файл ~/.config/vivaldi/Default/Login Data и увидел примерно следующее:

image

С тех пор ничего не изменилось.
Сразу по обнаружении данной «особенности» была написана простая программа выдёргивания личных данных из SQLite3-файла, после чего информация попала в руки всему сообществу, минуя разработчиков. Это важно, поскольку отсутствие шифрования паролей не похоже на уязвимость, оглашать детали которой было бы правильно только после её устранения.

Реакция на сей факт оказалась… никакой. Как со стороны создателей Vivaldi, так и со стороны пользователей. Было ясно, что разработчики полностью осознают серьёзность положения, поэтому в течение месяца я мониторил новости и обсуждения как на официальном сайте, так и на Хабре, ожидая одного — сообщения всем пользователям временно не использовать функцию сохранения паролей, пока не будет реализовано шифрование. Последней каплей стало голосование за новые функции в браузере, где, как вы уже поняли, про личные данные нет ни слова. Были необходимы решительные меры.

Надеюсь, сообщение не будет воспринято как осуждение разработчиков и выставление их в плохом свете. Однако статус тестовой версии — не оправдание того, почему пользователи не знают о своей незащищённости.

Автор: mortenoir

Источник

Поделиться

* - обязательные к заполнению поля