Apple выпустила расширение «Пароли iCloud» для Chrome Статьи редакции

Пароли будут синхронизироваться между браузерами Safari и Chrome.

Пользователи могут получить в Chrome доступ к паролям из Safari, которые были созданы на iPhone, iPad или Mac, пишет The Verge. Пароли, созданные в Chrome, сохраняются в связке ключей iCloud и будут доступны на устройствах Apple.

Расширение называется «Пароли iCloud» и доступно в интернет-магазине Chrome.

В сентябре 2020 года в бета-версии на iOS 14 появился первый браузер для выбора по умолчанию: в настройках системы помимо Safari можно выбрать Chrome.

0
175 комментариев
Написать комментарий...
Andrew Coldfan

Господи! УРА!
можно наконец отказаться от всех левых типа 1password.

Ответить
Развернуть ветку
Sergey Klochko

ээээ. ну флаг в руки. если вы не используетe 2FA то тогда конечно пофиг, но если вам небезразличен доступ к вашим данным, то советую включить эту штуку и вы поймете, что связке до 1password пока далеко даже на маках.

Ответить
Развернуть ветку
Bella Donn

прикол в том что 2fa не нужен при использовании парольного менеджера. Даже против фишинга парольный менеджер защищает эквивалентно. А от вирусов не защитит ничто и так. 

Ответить
Развернуть ветку
Sergey Klochko

2fa не дает тому, кто узнал каким-то образом ваш логин и пароль ими воспользоваться. Во в чем прикол 2fa.

Ответить
Развернуть ветку
Bella Donn

Расскажите как кто-то может узнать мой логин и пароль (i3j8fh37gfh сгенерированный менеджером) если мой менеджер вставляет его только на site.com и фишинг не прокатит?

Ответить
Развернуть ветку
Sergey Klochko

Вы потроллить или вам правда интересен механизм? А антивирус по результату рассказа поставите если еще не стоит? Если не поставите, то и знать вам незачем. Спите спокойно.

Ответить
Развернуть ветку
Bella Donn

В чем тролинг, я задал обычный вопрос?  
Антивирус на макос? Антивирусы это вообще snake oil, а на макосе он и подавно не нужен.

Ответить
Развернуть ветку
Sergey Klochko

ну поэтому пользуйте связку и спите спокойно. у меня на макос он есть. возможно потому что я в IT уже больше 25 лет и слишком хорошо знаю, что макос в этом смысле ничем не лучше виндовса и линукса, что заражение каждой из этих ос это вопрос случая (вирусы и эксплоиты существуют под все из них). а дальше кейлогер или снифер и ваш прекрасный пароль уже у них. в случае с 2FA они его использовать не смогут.

Ответить
Развернуть ветку
Bella Donn

Опустим что антивирус бесполезен, не панацея и легко обходится, но

в случае с 2FA они его использовать не смогут.

легко могут, закрепившись в системе вирус дождется  ввода 2фа и перешлет его атакующему. Как следствие  никакой разницы между менеджером и менеджером +2фа нет в  модели безопасности. Юзер просто тратит время на  ввод кода впустую.

Ответить
Развернуть ветку
Sergey Klochko

Естественно антивирус не панацея. Это защита от пылесосов по известным вирусам непатченных компонентов. Включая атаки через зеродей дыры уже детектируемыми вирусами.

В случае с вашим сценарием атаки это возможное развитие векторов атаки. Но пока они так еще не додумались делать. Кроме того, 1password при использовании плагина не использует буфер обмена для передачи логина и пароля браузеру. Соответственно перехватить из буфера получится только токен.

Ну и иж если на то пошло. То и эппловский кейчейн они поимеют ровно по той же схеме. Это не повод отказываться от 2fa

Ответить
Развернуть ветку
Bella Donn
Но пока они так еще не додумались делать

откуда инфа что не додумались? Все что требуется это залить свой экстеншен в браузер и им копировать из <input name=password/2fa> даже буфер обмена смотреть не нужно

Это не повод отказываться от 2fa

Это повод с ним не связываться вообще. Любой дополнительный фрикшен только отпугивает пользователей, поэтому то у 2фа юзеров почти нет. Вместо этого надо ставить на технологию которая проще и поможет всем и сразу от password reuse - это менеджер паролей. Улучшения которые дают 2фа поверх менеджера это из разряда позолоченных кабелей которые покупают аудиофилы чтобы "улучшить звук", хотя разницы нет.

Ответить
Развернуть ветку
Sergey Klochko

вы похоже совсем не читаете о чем я пишу. я пишу, что надо использовать  менеджер паролей с поддержкой 2FA. угадать/своровать три слова сложнее чем два.

теперь насчет что требуется.

требуется взломать компьютер или засоциалить, чтобы залить экстеншен. Если это не индивидуальная атака, то тут с вероятностью 80% спасет антивирус.

Потом, после того, как своруете токен нужно в течении в среднем 10 секунд его утилизировать. иначе он прокиснет и будет недействительным. пока о подобных сервисах со стороны массхакинга мне неизвестно. Если у вас есть информация, с удовольствием ознакомлюсь.

Пока единственный известный мне способ получить доступ к сайту с такого рода 2FA это брутфорс атака на плохо сделанную серверную часть. Такие атаки были и они задокументированы. но тут уже ничем не поможешь себе.

насчет кабелей с вами спорить не буду. я в этом вопросе центрист. и война там только из-за того, что одни в школе плохо учили физику, а вторые верят всякой лапше. кто из них кто выбирайте сами.

Ответить
Развернуть ветку
Sergey Klochko

мало того, 2fa решает не ту проблему на которую вы пытаетесь его подрядить.
Он не дает человеку, который тем или иным способом узнал ваши логин и пароль (подглядел например). воспользоваться вашими учетными данными.

Ответить
Развернуть ветку
172 комментария
Раскрывать всегда