Всегда пользовался только Гугл хромом, но тут черт дернул установить Яндекс браузер. Никакую синхронизацию не включал. Пароли не портировал. Но как-то само собой получилось, что все аккаунты и пароли теперь есть и в Яндекс браузере! Как это произошло?! И на сколько это согласуется с политикой конфиденциальности Гугла?
А может быть такой вариант, что это не Яндекс стырил пароль, а сайт сам запомнил мой комп (ну не знаю как, через куки допустим), и теперь подставляет данные в форму, но уже в другом браузере?...Просто мне кажется прям странным что Гугл так легко похерил нашу конфиденциальность...
vutmuk123, нет, ибо куки привязаны только к одному браузеру.
Да и не знают сайты твои пароли в принципе.
Просто мне кажется прям странным что Гугл так
Смысла шифровать пароли на устройстве конечного пользователя нет, особенно на Винде.
Предлагаю рассматривать самую простую гипотезу, пока нет ей опровержения.
Попробуй удалить яндекс с полной чисткой локальных файлов и внимательно смотри на все этапы установки
Максим Федоров, значит все-таки яндекс браузер отсылает оригинальный пароль, который получил из файла хранения паролей хрома...но как он его получил, если там пароли лежат зашифрованные?
Василий Банников, самое интересное, что есть такая ветка Я.Браузера - корп версия.
Она установлена на несколько виртуалок децентрализованно. И вот сегодня захожу на одну из виртуалок в пассменеджер, а там все пароли, которые на каждой из ВМ. Каким макаром это случилось ума не приложу. Они что все как-то синхронизируются в пределах одной сетки? О_о
Хром хранит пароли в конкретном известном месте, а Яндекс про это знает и в это место подсматривает.
Вот статья, проливающая свет на происходящее: https://habr.com/ru/amp/post/134982/
Василий Банников, я знаю что он умеет экспортировать их в csv не зашифрованном виде. Насчет того чтобы прямо в незашифрованном хранить - что-то я сомневаюсь.
В любом случае сейчас это выглядит вполне безопасно и даже кажется, что можно переиспользовать это хранилище для сторонних менеджеров паролей (профит в халявной синхронизации).
Dmitry Roo, кажется я понял, но тогда вопрос (наверное уже оффтопный):
Что мешает компании Яндекс получить доступ к моему аккаунту на любом ресурсе, где у меня не включена двухфакторная авторизация?
Dmitry Roo, я понял насчет Джо))
И да, чтобы увидеть пароль в менеджере паролей яндекс браузера мне требуется ввести пароль от ОС..
Но если открыв сайт через яндекс браузер я нажимаю на глазик и вижу незашифрованный пароль, разве это не значит, что и яндекс браузер его тоже видит? Извините конечно, если вопрос слишком тупой)
vutmuk123, ну конечно Яндекс, как компания, имеет техническую возможность полностью контролировать трафик, который идёт через их ПО, независимо от того вводите вы пароль вручную или с помощью любого менеджера.
Ну, собственно, как и любой другой производитель клиентского ПО.
Dmitry Roo, если позволите, еще пара вопросов. Что вы имеете ввиду, когда говорите, что "ваши пароли зашифрованы паролем вашей ОС"? Насколько я понял, это делается только для того, что человек, который внезапно сел за мое рабочее место, не получил мой пароль, нет? Иначе получается что браузер передает пароль аутентификации в зашифрованном виде, но тогда сайт должен иметь пароль моей ОС- что уж совсем невероятно. Или браузер отсылает не пароль а хеш? Тогда я совсем запутался...
vutmuk123, тут надо вспомнить о существовании https. Если сайт поддерживает https весь трафик шифруется, если нет - то нет).
Гугл хром хранит пароль в зашифрованном виде на вашей машине. Чтобы расшифровать пароль нужен пароль от ос.
Когда пароль расшифрован он передаётся в виде обычного текста в окошко для ввода пароля - это как раз самое узкое место. Если на компьютере завелся зловред, например, в этом то месте он пароль и перехватит.
Дальше уже по протоколу https трафик шифруется и летит на сайт. На сайте трафик расшифровывается и опять ваш пароль доступен в виде обычного текста. Будут ли его хранить в виде хеша или нет - на совести владельца сайта.