Názory k článku
Microsoft Edge ukládá hesla do paměti v čitelné podobě, prý je to tak schválně

Mobilný Firefox (minimálne ten vo verzii 150.0.1) to má rovnako :(

Tak uvidíme..
https://bugzilla.mozilla.org/show_bug.cgi?id=2037803

Děkuji pěkně, vyzkoušel jsem a udělal jsem z toho zprávičku.

Není zač a také díky. Už je to přiřazené, snad nebude nalezení příčiny a oprava moc složitá.

Takze mit ulozeny hesla v textaku na plose je uplne v pohode zejo? Protoze problem neni co je v textaku, ale to ze k nemu ma utocnik pristup...

Ano, z hlediska bezpečnosti uložení je úplně v pohodě mít hesla uložená v textovém souboru na ploše. Pokud je to můj soukromý počítač, který používám jenom já, nebo pokud jsou tam jen hesla k systémům, ke kterým mají stejně admini toho počítače větší práva než já.

Problém s hesly v texťáku je v tom, že mne to nijak nechrání před phishingem – že je jenom na mně, abych zkontroloval, zda heslo vkládám do webu na správné doméně. V tom lidé nejsou dobří.

Ale že mám soubor s hesly na ploše? Jenom s heslem se nedostanete do ničeho zajímavého – do banky, do e-mailu, na sdílené disky. Hned ve vedlejší složce ale najdete třeba fotky. V další složce dokumenty. Jejich únik by mi vadil daleko víc, než únik nějakých hesel. U těch hesel by mi vadilo akorát to, že je musím ručně pracně jedno pro druhém měnit.

Ano, problém není v tom, co je v texťáku, ale kam má útočník přístup. Je to asi jako kdybyste řešil, zda mají být šperky (na běžné každodenní nošení někoho ze střední třídy) doma v misce na stole nebo „schované“ v šuplíku. Protože co když se někdo dostane do bytu. Tak mně by vadilo, že když se ten člověk dostane do bytu, dostane se třeba v noci do ložnice; dostane se do koupelny, kde se někdo sprchuje; dostane se do bytu, když jsou tam děti samy. A pokud se dovnitř dostane opravdu nějaký bytař, schování šperků do šuplíku je před ním určitě nezachrání.

Energii věnovanou tomu, abych neměl hesla v texťáku na ploše, bude mnohem užitečnější přesměrovat do toho, aby útočník nemohl číst soubory z mého disku.

Jasne, nakonec proc zabirat misto na disku textakem, kdyz staci mit vsude heslo admin nebo 123456. Jenom s heslem se stejne k nicemu zajimavemu nedostanu.

Ja nemam rad tyhle paralely "z realneho zivota" zvlast u temat, ktera nejsou tak slozita, aby se diskuze bez nich neobesla. Sperky proste nejsou hesla.

Ale v pohode, jestli to mate takhle nastavene a jste s tim spokojeny, tak asi v poradku, jenom si osobne nemyslim, ze je to obecne dobry napad.

Jasne, nakonec proc zabirat misto na disku textakem, kdyz staci mit vsude heslo admin nebo 123456.
Vidím, že argumenty vám došly, takže jste přešel k argumentačním faulům. Zde konkrétně slaměný panák.

Sperky proste nejsou hesla.
Ano, i ty levné šperky, o kterých jsem psal, má větší hodnotu, než většina hesel.

Ale v pohode, jestli to mate takhle nastavene a jste s tim spokojeny, tak asi v poradku, jenom si osobne nemyslim, ze je to obecne dobry napad.
Ani bezpečnost už není tak exaktní obor, jako býval. O bezpečnosti píše spousta lidí, kteří o ní nemají ani páru, a tak se místo racionálních argumentů řídí pocity. Většina takových lidí bude mít pocit, že mít na ploše soubor s hesly je bezpečnostní katastrofa. Mít hned ve vedlejší složce třeba svoje nahé fotky, nebo nahé fotky někoho blízkého, jim připadá naprosto OK. A já si myslím, že je to přesně naopak.

Ja nevim, je to mozny, ja ty argumentacni fauly tolik nastudovany nemam. Ale zkusim vam v tom oponovat.
Me uprimne trochu prekvapil vas postoj k ukladani hesel do textoveho souboru na plose, takze jsem byl opravdu zvedavy, jestli zaujmete podobny postoj i k heslu 123456 a popravde jsem spis cekal, ze to taky zkusite obhajit. Zamer vam ublizit nebo vas nejak znevyhodnit v tom nebyl. Takze jestli se vas to dotklo, tak se omlouvam. Ja naopak povazuji za argumentacni faul prirovnavani "ze zivota", ktere ale nepomaha dane tema objasnit a naopak do diskuze vnasi mlhu subjektivnich pocitu - sperku, domova a bytaru. Hesla v pocitaci nejsou neco extremne abstraktniho, co je potreba pripodobnovat k necemu jinemu, abychom se pochopili.
Stejne tak prohlasit o oponentovi, ze mu "argumenty dosly" tim me v podstate diskvalifikujete z dalsi diskuze a predjimate, ze moje dalsi odpovedi uz budou opet jen fauly, protoze uz nemam argumenty a "presel jsem na fauly". A misto abychom se bavili o edge a heslech se tocime na forme argumentace. Pro me je tohle sum.

Zpatky k tematu - podle me natahnuti vsech hesel v plaintextu do pameti i kdyz nejsou potreba se rovna rezignaci na jejich ochranu a uroven ochrany je podobna jejich ulozeni do textoveho souboru. Coz je v rozporu s tim, co o spravci hesel v edge prohlasuje microsoft a co tedy pravdepodobne bezni uzivatele ocekavaji. Z vasich protiargumentu jsem pochopil, ze povazujete hesla za nedulezita, tudiz je neni potreba zvlast chranit a je lepsi vsadit vsechno na jedinou kartu vnejsiho perimetru a predpokladat, ze se utocnik dovnitr vubec nedostane. To ja povazuju za kratkozrake a lepsi je podle me ochranu (nejen hesel) rozvrstvit, zvlast kdyz me to nestoji zadne zdroje navic.

Ja nevim, je to mozny, ja ty argumentacni fauly tolik nastudovany nemam.
Tak si je nastudujte, abyste se jim pro příště vyhnul.

Me uprimne trochu prekvapil vas postoj k ukladani hesel do textoveho souboru na plose, takze jsem byl opravdu zvedavy, jestli zaujmete podobny postoj i k heslu 123456 a popravde jsem spis cekal, ze to taky zkusite obhajit.
Nezkusím, protože jsou to dva protipóly. Účelem hesla je, aby to byla tajná věc, kterou zná jenom uživatel, a nejde jí uhodnout. Heslo 123456 lze snadno uhodnout. Mít všude stejné hesla znamená, že to heslo nezná jen uživatel, ale prakticky každý provozovatel (protože většinu hesel máme k webům a na webu se stále používá středověký systém, že se heslo v otevřeném tvaru posílá provozovateli).

Mít hesla v textovém souboru na ploše znamená, že mám pravděpodobně hesel víc, ideálně pro každého provozovatele jiné – jinak bych si je nepotřeboval někam ukládat. A pravděpodobně jsou ta hesla složitá – jinak bych si je nepotřeboval ukládat. Ta hesla zná jen uživatel (a jednotlivé heslo i provozovatel) – protože počítám s tím, že k souborům na mém disku mám přístup jen já, a chovám se tak, aby to tak zůstalo.

Proti uložení hesel v textovém souboru na ploše je jediný silný argument – nechrání to před phishingem. Vzhledem k tomu, že používat správce hesel je po jeho zprovoznění jednodušší než používat textový soubor, a správce hesel chrání i před phishingem, nemá smysl používat textový soubor. Ale kdyby správci hesel neexistovali, je textový soubor na ploše rozumná volba – lepší než třeba lísteček na monitoru.

Hesla v pocitaci nejsou neco extremne abstraktniho, co je potreba pripodobnovat k necemu jinemu, abychom se pochopili.
S tímhle nesouhlasím. Podle mne je potřeba hesla srovnávat s dalšími věcmi, abychom si uvědomili, jaká je jejich skutečná hodnota. Podle mne si spousta lidí při vyslovení slova „heslo“ sedne na zadek a tváří se, jak je heslo posvátné. Ale spousta dokumentů nebo fotek, které má člověk na počítači, je hodnotnější, než drtivá většina hesel, které uživatel používá. Navíc uživatelé hesla klidně zadávají do prohlížeče, který je pak v otevřením tvaru (i když šifrovaným kanálem) odešle na druhou stranu. Navíc většina uživatelů stále používá jedno heslo na spoustě míst nebo na všechno.

Takže teoreticky se o heslech píše jako o něčem velmi vzácném, ale v praxi to tak za prvé u většiny hesel není a za druhé se s nimi zachází mnohem hůř, než by se teoreticky mělo.

Stejne tak prohlasit o oponentovi, ze mu "argumenty dosly" tim me v podstate diskvalifikujete z dalsi diskuze
Ne, z další diskuse jste se diskvalifikoval sám použití argumentačního faulu.

Zpatky k tematu - podle me natahnuti vsech hesel v plaintextu do pameti i kdyz nejsou potreba se rovna rezignaci na jejich ochranu a uroven ochrany je podobna jejich ulozeni do textoveho souboru.
Není to rezignace na jejich ochranu. Hesla jsou chráněna tím, že jsou v prostoru, který je přístupný jenom uživateli. To, že uživatel spouští programy, které přečtou hesla z paměti, je z podstatné části chyba uživatele. To, že operační systém umožní jiným programům číst paměť prohlížeče, je chyba operačního systému. Třeba mobilní systémy spouští každou aplikaci odděleně.

Při srovnání s hesly uloženými v textovém souboru je potřeba si říct, zda je ten textový soubor na šifrovaném disku nebo ne. Pokud je na šifrovaném disku, pak je to srovnání s uložením hesel v otevřeném tvaru v paměti za mne OK. Ano, úroveň ochrany je podobná – a je dostačující. Pokud neexistuje triviální řešení, jak to změnit, nemá smysl se o to snažit – protože fakt, že útočník může číst vaše soubory nebo vaši paměť je takový průšvih, že je potřeba se bránit především proti tomu. Dokud nezabezpečíte tohle, nemá smysl řešit nějaká hesla v plaintextu.

Proto jsem to přirovnával k těm šperkům. Dokud si nezabezpečíte pořádně vstup do bytu, nemá smysl řešit, jestli šperky jsou položené v misce na stole nebo „schované“ v šuplíku.

Coz je v rozporu s tim, co o spravci hesel v edge prohlasuje microsoft a co tedy pravdepodobne bezni uzivatele ocekavaji.
Co je na tom v rozporu? Co o správci hesel prohlašuje Microsoft? Předpokládám, že bezpečně uchovává hesla – a to splňuje.

Pokud by šlo skutečně o bezpečnost hesel, měl by Microsoft řešit něco úplně jiného – aby správce hesel neposkytoval stránce heslo v otevřeném tvaru, ale aby jí poskytl při registraci údaje nutné pro ověření hesla, ale ne heslo samotné, a při přihlášení odpověď na jednorázovou výzvu, kterou může server ověřit. Tedy to, aby hesla v otevřeném tvaru nebo jejich ekvivalent vůbec neopustila bezpečnou část prohlížeče. Sice se postupně zavádí PassKey, ale jejich významné rozšíření bude trvat roky. Náhrada hesel modernější variantou přihlašování HTTP Digest by mohla být mnohem rychlejší. Taková změna by skutečně výrazně zvýšila bezpečnost. Ne schovávání hesel „za roh“. Vždyť i když ta hesla budou v paměti nějak šifrovaná, bude v paměti i dešifrovací klíč – tak k čemu to šifrování je? A dnes nemáme v počítačích technologie na to, aby v paměti ten dešifrovací klíč nebyl – uživatel chce zadat heslo do webu hned, ne se při tom znovu ověřovat nebo čekat na dešifrování v TPM.

Z vasich protiargumentu jsem pochopil, ze povazujete hesla za nedulezita, tudiz je neni potreba zvlast chranit a je lepsi vsadit vsechno na jedinou kartu vnejsiho perimetru a predpokladat, ze se utocnik dovnitr vubec nedostane.
Většina hesel je nedůležitých. Ale podstata je někde jinde – toho, co je stejně důležité nebo důležitější než důležitá hesla, má uživatel na počítači spoustu. A dokonce i v tom prohlížeči. Takže chránit pár hesel v paměti nestačí. Aby to dávalo smysl, musel byste úplně stejně chránit veškerý obsah webových stránek, všechny dokumenty (i otevřené v programu), všechny obrázky a videa (i ty otevřené v programech). To ale nejde. Takže jediné, co dává smysl chránit, je vnější perimetr programu.

V první řadě je tedy potřeba chránit to, aby nemohl útočník číst soubory uživatele a jeho paměť. Pokud se má řešit nějaká další ochrana, tak na úrovni oddělení jednotlivých procesů/aplikací na úrovni OS, jako to mají mobilní telefony. Spouštět webový prohlížeč tak, aby jeho paměť nemohly číst jiné procesy, by bezpečnosti výrazně pomohlo, na rozdíl od předstírání šifrování hesel v paměti. A ještě víc by bezpečnosti pomohlo, kdyby i konfigurační soubory prohlížeče na disku byly oddělené a nesměly je číst jiné aplikace.

To ja povazuju za kratkozrake a lepsi je podle me ochranu (nejen hesel) rozvrstvit, zvlast kdyz me to nestoji zadne zdroje navic.
Zajímalo by mne, jak si představujete tu ochranu právě těch „nejen hesel“. Já jsem pro další vrstvy ochrany, ale uložit do paměti zašifrovaná hesla a hned vedle nich mít dešifrovací klíč nepovažuju za další vrstvu ochrany. Je to jenom takové pozlátko, která nemá žádnou skutečnou hodnotu. Kdyby to nestálo žádné zdroje navíc, tak ať to tam klidně je – jenže ono to nějaké zdroje navíc stojí. Musí to někde navrhnout, implementovat, otestovat a hlavně ověřit (a při každé další změně dál ověřovat), že tam není nějaká chyba, která by bezpečnost naopak snížila.

Ten „objev“ je taková hra na bezpečnost. Neřešíme skutečné problémy – že se hesla vkládají do stránky v otevřeném tvaru, že není oddělená paměť procesů, že není oddělené trvalé úložiště (soubory) aplikací – ale aby se vykázala nějaká činnost týkající se bezpečnosti, budeme předstírat, že šifrujeme hesla v paměti. Jak jsem psal výše, na místě Microsoftu bych ta hesla v paměti uložil XORovaná jedním bajtem. „Bezpečnostní výzkumníci“ je v paměti nenajdou a bude pokoj.

Pak je to implementační chyba, možnosti jak minimalizovat útoky jsou. Mimochodem, pokud se nepletu, Edge má master klíč k databázi hesel chráněný právě přes DPAPI, tedy loginem, a pokud admin ukradne profil, bez uživatelova hesla mu k ničemu nebude.
Teda do chvíle, než to najde triviálně v memorydumpu trvale běžícího Edge.

https://www.man7.org/linux/man-pages/man2/add_key.2.html
https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectmemory