Как Яндекс браузер получил мои пароли?

Question

[vutmuk123]

Всегда пользовался только Гугл хромом, но тут черт дернул установить Яндекс браузер. Никакую синхронизацию не включал. Пароли не портировал. Но как-то само собой получилось, что все аккаунты и пароли теперь есть и в Яндекс браузере! Как это произошло?! И на сколько это согласуется с политикой конфиденциальности Гугла?

Comments

[Drno]

Импортировал с хрома

Answer 1

[Василий Банников]

Как как.
Взял и импортнул он у тебя из хрома.
По умолчанию где-то такая скрытая Галка есть.

Все пароли хром хранит в открытом виде у тебя на компе

Comments

[vutmuk123]

А может быть такой вариант, что это не Яндекс стырил пароль, а сайт сам запомнил мой комп (ну не знаю как, через куки допустим), и теперь подставляет данные в форму, но уже в другом браузере?...Просто мне кажется прям странным что Гугл так легко похерил нашу конфиденциальность...

[Василий Банников]

vutmuk123, нет, ибо куки привязаны только к одному браузеру.
Да и не знают сайты твои пароли в принципе.

Просто мне кажется прям странным что Гугл так

Смысла шифровать пароли на устройстве конечного пользователя нет, особенно на Винде.

Предлагаю рассматривать самую простую гипотезу, пока нет ей опровержения.
Попробуй удалить яндекс с полной чисткой локальных файлов и внимательно смотри на все этапы установки

[vutmuk123]

Василий Банников, но почему сайт не знает мой пароль от этого сайта (т.е. от самого себя)? Он же как раз по паролю и должен меня идентифицировать?...

[Василий Банников]

vutmuk123, а вот так.
Уже давно хорошей (а в некоторых случаях обязательной) практикой считается хранить не пароль, а только его хэш.

Для идентификации используется твой логин/почта/телефон.
А пароль - для аутентификации.

[Максим Федоров]

vutmuk123, у меня сайт хранит хэш

Из запроса залогиниться сайт берет оригинальный пароль, хэширует по внутр алгоритму и сравнивает с текущим хэшем

Больше ничего не делает и пароль не сохраняет в чистом виде от греха подальше

[vutmuk123]

Василий Банников, Вы были правы, похоже я просто проигнорировал настройку, а там оказалось вот такое...

[vutmuk123]

Максим Федоров, значит все-таки яндекс браузер отсылает оригинальный пароль, который получил из файла хранения паролей хрома...но как он его получил, если там пароли лежат зашифрованные?

[Василий Банников]

vutmuk123, DPAPI так работает.

[Pavel Valeo]

Василий Банников, самое интересное, что есть такая ветка Я.Браузера - корп версия.
Она установлена на несколько виртуалок децентрализованно. И вот сегодня захожу на одну из виртуалок в пассменеджер, а там все пароли, которые на каждой из ВМ. Каким макаром это случилось ума не приложу. Они что все как-то синхронизируются в пределах одной сетки? О_о

[Василий Банников]

Pavel Valeo, я не знаю, как там у вас всё настроено) так что хз кому этот вопрос адресован

[Pavel Valeo]

Василий Банников, просто 1 физический комп на винде, VMWare Workstation засетапленный на нем и 3 виртуалки на винде которые развернуты на этом компе)

[Василий Банников]

Pavel Valeo, домен? Общие диски?

Answer 2

[Dmitry Roo]

Хром хранит пароли в конкретном известном месте, а Яндекс про это знает и в это место подсматривает.
Вот статья, проливающая свет на происходящее: https://habr.com/ru/amp/post/134982/

Comments

[Василий Банников]

Вроде когда-то вообще незашифрованные пароли были.
Помню что прямо находил их сам

[Dmitry Roo]

Василий Банников, я знаю что он умеет экспортировать их в csv не зашифрованном виде. Насчет того чтобы прямо в незашифрованном хранить - что-то я сомневаюсь.
В любом случае сейчас это выглядит вполне безопасно и даже кажется, что можно переиспользовать это хранилище для сторонних менеджеров паролей (профит в халявной синхронизации).

[vutmuk123]

Dmitry Roo, кажется я понял, но тогда вопрос (наверное уже оффтопный):
Что мешает компании Яндекс получить доступ к моему аккаунту на любом ресурсе, где у меня не включена двухфакторная авторизация?

[Dmitry Roo]

vutmuk123, мешает то, что ваши пароли зашифрованны паролем вашей ОС, и, в большей степени, фактор неуловимого Джо.

[vutmuk123]

Dmitry Roo, я понял насчет Джо))
И да, чтобы увидеть пароль в менеджере паролей яндекс браузера мне требуется ввести пароль от ОС..
Но если открыв сайт через яндекс браузер я нажимаю на глазик и вижу незашифрованный пароль, разве это не значит, что и яндекс браузер его тоже видит? Извините конечно, если вопрос слишком тупой)

[Dmitry Roo]

vutmuk123, ну конечно Яндекс, как компания, имеет техническую возможность полностью контролировать трафик, который идёт через их ПО, независимо от того вводите вы пароль вручную или с помощью любого менеджера.
Ну, собственно, как и любой другой производитель клиентского ПО.

[vutmuk123]

Dmitry Roo, если позволите, еще пара вопросов. Что вы имеете ввиду, когда говорите, что "ваши пароли зашифрованы паролем вашей ОС"? Насколько я понял, это делается только для того, что человек, который внезапно сел за мое рабочее место, не получил мой пароль, нет? Иначе получается что браузер передает пароль аутентификации в зашифрованном виде, но тогда сайт должен иметь пароль моей ОС- что уж совсем невероятно. Или браузер отсылает не пароль а хеш? Тогда я совсем запутался...

[Dmitry Roo]

vutmuk123, тут надо вспомнить о существовании https. Если сайт поддерживает https весь трафик шифруется, если нет - то нет).

Гугл хром хранит пароль в зашифрованном виде на вашей машине. Чтобы расшифровать пароль нужен пароль от ос.
Когда пароль расшифрован он передаётся в виде обычного текста в окошко для ввода пароля - это как раз самое узкое место. Если на компьютере завелся зловред, например, в этом то месте он пароль и перехватит.
Дальше уже по протоколу https трафик шифруется и летит на сайт. На сайте трафик расшифровывается и опять ваш пароль доступен в виде обычного текста. Будут ли его хранить в виде хеша или нет - на совести владельца сайта.