Команда Firefox выпустила для своих пользователей менеджер паролей Lockbox

[avenikolay]

Прикрепите в опросе менеджер паролей LastPass. Сам им пользуюсь.

[Cheater]

Событие, к сожалению, вполне в стиле файрфокса последних нескольких лет. Firefox давно уже стал превращаться в комбайн из каких-то ненужных хреней (pdf.js, Pocket, Hello, теперь вот это), равно как и Mozilla, занимающаяся чем угодно (в основном маркетингом), только не техническим развитием браузера. Для ценителей прекрасного: privacynotincluded — промо-сайт от Mozilla, рекламирующий айпады, amazon kindle и тд. под соусом "отчётов о приватности". Но, справедливости ради, спасибо хотя бы за Servo и Rust.

[funnycar]

А как они испоганили новую вкладку с миниатюрами страниц. Теперь, лично для меня это нечто неюзабельное. И отдельный камень в огород мозилы — неотключаемая проверка обновлений.

[sw0rl0k]

И отдельный камень в огород мозилы — неотключаемая проверка обновлений.

about:config -> app.update.auto -> false

Хотя возможно это именно сами обновления, а не проверялка на наличие таковых. Ну проверялку можно в app.update.interval максимально отсрочить.

[dartraiden]

Этот ключ не существует уже с октября 2018 в регулярных выпусках.
Не прибегая к политикам, можно лишь отключить автоматическую установку, но не уведомления о наличии.

Отключить уведомления можно только через политики.

[sw0rl0k]

В FF 66.0.1 на маке этот ключ есть. Может он не работает(я не проверял), но он есть.

[dartraiden]

Точно, порылся в истории изменений: его удалили только в Windows-сборках.

[dartraiden]

неотключаемая проверка обновлений.

Всё прекрасно отключается через политики. Создать JSON-файл политик и положить его в нужное место, вроде бы, несложно.

[dartraiden]

Hello

Уже давно нет.

теперь вот это

Кто-то заставляет ставить в браузер дополнение, чтобы потом говорить, что он превращается в комбайн?

[yefrem]

а как же недавнее обновление движка?

[herrjemand]

Есть еще Dashlane

[Amihailov]

Это не тот Firefox, папку с профилем которого можно скопировать на другой компьютер, запуститься под этим профилем и посмотреть сохраненные пароли? :)

[splav_asv]

Это если без мастер пароля?

[xFFFF]

Без мастер пароля можно копировать))

[dartraiden]

Копировать файл можно в любом случае. Защита файлов на диске от копирования — это уже задача операционной системы (если пользователь не зашифровал диск, а кто-то загрузился с LiveCD, то этот кто-то может скопировать вообще любой файл в системе).

С мастер-паролем сам файл, в котором хранятся пароли, зашифрован. Его копирование вам ничего не даст.

[Amihailov]

Без мастер пароля, разумеется. Но по-умолчанию лис его и не требует, таким образом очень много пользователей, не понимая того, хранят пароли в не зашифрованной базе.
Хром эту задачу решил без мастер-паролей.

[maxzhurkin]

«решил»?
От кражи файла/файлов защитил, а от посмотреть пароли без кражи?

[dartraiden]

Да, а чего вы ожидали, если у вас пароли хранятся незашифрованными?

[Amihailov]

Я ничего не ожидал — я хромом пользуюсь :) Хром, кстати, по-умолчанию, шифрует пароли и при хищении папки профиля — ничего не покажет без ввода пароля от гугловской учётки.
Вот это нормальный подход, когда даже незнайка в безопасности.

[dartraiden]

без ввода пароля от гугловской учётки

А Firefox позволяет шифровать пароли вообще без всякой учётки. Без гугловской, без мозилловской. Именно поэтому шифрование не включено по умолчанию.

Вы сравниваете Firefox без учётки с Chrome с учёткой. Попробуйте сравнить с Chrome, когда в него тоже не заведена гугловская учётка?

[Amihailov]

Раз вы попросили, то я это воспроизвел :)
Установил на чистой винде в виртуалке последний хром и зашел на mail.ru, сохранив пароль. На своей машине убрал свою папку профиля и запустил хром (он, естественно, повел себя как свежеустановленный). Закрыл хром и переместил папку профиля из виртуалки, с заменой файлов.
Далее я запустил хром и что увидел? История из виртуалки на месте, а в паролях пусто.

Я вас ни в чём не убеждаю, я просто говорю о том, что браузер по-умолчанию должен заботиться о пользователе, в мире миллиард пользователей интернета — сколько из них айтишников?

[yefrem]

строго говоря, это не означает, что пароли нельзя прочитать из файлов. Если они шифруются без ввода чего-либо, то было бы интересно узнать, как именно это работает.

[dartraiden]

Прочитать и расшифровать можно (например, ChromePass), но только на той же машине.

[JTG]

Не знаю как там сейчас обстоят дела, но раньше под виндой Chrome использовал DPAPI. Там примерно такая шляпа:
— Для каждой учётной записи Windows существует свой мастер-ключ.
— Если учётная запись Windows защищена паролем, мастер-ключ дополнительно им шифруется.
— Если учётная запись Windows НЕ защищена паролем и разработчик не озаботился эту ситуацию обработать (попросить пароль для хранилища), то данные будут «немножко зашифрованы» — от других пользователей на этой же системе.

Таким образом чтобы спереть пароли из хрома простым копированием профиля, нужно чтобы учётка была не запаролена (либо знать пароль) и вместе с профилем забрать ключи из %APPDATA%\Microsoft\Protect.

Подробнее: habr.com/ru/post/148602

[dartraiden]

История из виртуалки на месте, а в паролях пусто.

Это правильно сделано. Тут Chrome впереди, не спорю. Насколько я помню, у Mozilla были планы заменить всю текущую схему хранения паролей (потому что дефолтный менеджер писался кучу лет назад и использует недостаточно сильную криптогрфию) на Lockbox, поэтому они решили сосредоточиться на его развитии, а текущую реализацию не трогать, раз уж ей всё равно суждено помереть.

В принципе, если Lockbox допилят до возможности хранить пароли безопасно даже без входа в учётную запись Mozilla, то можно уже и заменять.

[DaylightIsBurning]

Браузер от Mozilla не может тягаться по уровню комфорта с Google Chrome в плане пользовательского опыта мультиплатформы

Пользуюсь Firefox на Linux, Windows, Android, все синхронизируется — никаких проблем. Что такого удобного в Хроме?

[Revertis]

Просто некоторые люди больше доверяют компании, которая продаёт их данные, чем компании, которая не занимается их продажей.

[Busla]

Несколько наивно подозревать Google в краже паролей, по продолжать использовать Android.

[Revertis]

Я думаю, что за все эти 10+ лет существования Андроида, и при том количестве энтузиастов, работающих с их кодом, кто-то всё-таки заметил бы утечку паролей с устройств. А вот то, что происходит за пределами устройства, это уже совсем грязный бизнес.

[linux_id]

На хроме не выскакивает надоедливая реклама хрома в поиске гугла. Вот и весь секрет его популярности.

[DaylightIsBurning]

ниразу её не видел — uBlock, наверное :)

[ruizAw]

uBlock на Андроидном Хроме?

[DaylightIsBurning]

не, но на андроиде я тоже не видел надоедливой рекламы хрома :)

[ZetaTetra]

(Не)навязчивая реклама и встраивание в ось по умолчанию.
Ещё заметил появление хрома в installShield'ах. Или что там сейчас распространено.

[no404error]

Дыра номер 2 в топе (после ДиД). Зачем ломать все подряд, если можно сломать менеджер паролей (расшифровать) конкретного человека (но непонятно зачем) и получить все и сразу?

p.s. Каким бы не был сложен пароль, он на 99.(9)% сливает многофакторной авторизации. И ломать не нужно хранилище паролей. Сломать сайт, найти недовольного сотрудника, повалить и сдампить…

[Godless]

не могу не вклиниться, когда ругают любимый браузер.
Может ФФ и неидеален на всех платформах, но он до сих пор тот самый браузер, который я могу настроить как хочу, блокировать что хочу и как хочу, ставить любые дополнения и тп. На андроиде использовал его еще с бэты. Он с каждым релизом все лучше и лучше. Пару скачиваний назад, обновление принесло серьезное ускорение рендера. Хотя первые версии были реально тормозные.
По сабжу, может приложуха и маленькую аудиторию найдет, но думаю она продолжит развиваться.

Идеальных браузеров до сих пор нет…

[Lemiort]

Это приложение — именно то, в чём я нуждался. Добавить ещё генерацию паролей и пр. фишки менеджеров паролей и будет супер.
Мобильный FF — тоже без альтернатив. Какой ещё мобильный браузер поддерживает дополнения?

[Eidzo]

Яндекс браузер в какой-то мере, я им пользуюсь. У огнелиса неудобный интерфейс на андроиде.

[DigiHun]

А как же Kaspersky Password Manager?

[ElleSolomina]

Платный, закрытый? Серьёзно?

[Murimonai]

Про расширения уже обсуждалось на хабре, да и не раз. Скорее положительный ход, чем отрицательный.
А интерфейс — вообще такое себе. Вкусовщина, одним словом.
Маловато чтобы на свалку отправляться.

[Massacre]

Положительный разве что в том смысле, что совсем положили на существующих пользователей, попытавшись отхватить что-то от Хрома. Но нет, обойдутся. Конечно, нужна альтернатива Хрому, но клонированием делу не поможешь.

[mjr27]

Как люди пользуются Keepass, я не понимаю. Совершенно же нефункциональная и неюзабельная хрень.
Долгое время плакал, кололся, но с плясками и танцами запускал лет 15 как всеми забытый Password commander. Потом сидел на самописном велосипеде. А с год назад внезапно обнаружил enpass. Жалкое подобие левой руки, конечно (нет шаблонизатора, нельзя сделать кнопку запуска программы, нельзя прикрепить файл, да и интерфейс подпорчен новомодным material раком), но в принципе съедобно. Есть linux/windows/android etc, синхронизация через любые облака. Рекомендую.

[mjr27]

А, основное забыл. Оно proprietary & closed source, и написано индусами.
Так что паранойя до сих пор щекочется, это да.

[a1ien_n3t]

Эээ всмысле закрытые? Вот же исходники github.com/dlech/KeePass2.x
И даже на сайте программы написанно что лицензия Open Source software (GPL)

[mjr27]

я об enpass

[KirutNdert]

Господа, в чем отличие от связки «синхронизация аккаунта Firefox на ПК и смартфоне + мастер пароль» от Lockbox? Два раза перечитал статью, так и не понял.

[capitannemo]

Lockbox — это по задумке отдельное приложение для хранения паролей, как указано в статье конкурент KeePass к примеру.
Т.е. не обязательно только веб пароли в нем хранить, а можно например от 1С или от банковских карт ;)
Есть приложения для мобильных платформ, а для ПК — приложение это сам Firefox
Задумка хорошая для рядовых пользователей, которым лень разбираться еще и с KeePass
Для аудитории Хабра не факт