12:29
13/12/2019

Najnowsza wersja przeglądarki Chrome ma wbudowany mechanizm audytu haseł. Treści wpisywane przez użytkownika w pole typu “password” są w gwarantujący pofuność sposób zestawiane ze znanymi Google wyciekami — i w przypadku dopasowania, użytkownik otrzymuje ostrzeżenie.

Bardzo dobry pomysł!

Ten sam mechanizm od dawna był dostępny w ustawieniach Konta Google, ale dotyczył tylko zapisanych w przeglądarce (na koncie Google) haseł. Jak dokładnie on działa?

Google przechowuje ponad 4 miliardy rekordów pochodzących z wycieków. Dane składowane są w formie zahashowanej. Podczas logowania, Chrome hashuje login i hasło użytkownika i wysyła do Google. Google używając tzw. “private set intersection with blinding” sprawdza czy dane pochodzące z Chrome są w zbiorze wycieków. Tu warto podkreślić że przeglądarka wysyła 3 bajty hasha SHA256, aby ograniczyć złożoność obliczeń. Na poniższej infografice zostało to przedstawione dokładniej:

Tę funkcję będzie można włączyć w opcjach “Sync and Google Services” przeglądarki Chrome.

Szybsze wykrywanie złośliwych stron

Google informuje też, że zmniejsza okienko aktualizacji listy złośliwych stron (chodzi o ten czerwony ekran, ostrzegający przed wejściem na jakąś stronę). Do tej pory lista była aktualizowana co 30 minut, ale teraz będzie ona mogła być przez przeglądarkę konsultowana w czasie rzeczywistym, o ile użytkownik włączy opcję “Make searches and browsing better”.

Wciąż, przeglądarka najpierw skonsultuje lokalną listę (tym razem znanych, bezpieczych stron), a jeśli odwiedzany URL się na niej nie znajdzie, zostanie wysłany (bez parametrów) do Google. Wedle wyliczeń, takie podejście zwiększa o 30% ochronę przed złośliwymi stronami.

Co na to Brave?

Świetnie, że Chrome wprwoadza takie udoskonalenia i — że sposób ich funkcjonowania, dzięki użytym algorytmom i technikom zapewnia prywatność użytkownikowi. Chrome niewątpliwie jest najbezpieczniejszą przeglądarką — ale, jak zapewne wiecie, w innych swoich obszarach wiele informacji na temat zachowania użytkownika przesyła do Google.

Alternatywą jest przeglądarka Brave, którą możemy polecić dlatego, że czerpie to co najlepsze z Chrome, a obcina “szpiegowanie” i “telemetrię”. Ciekawe, czy te mechanizmy także trafią do Brave’a…

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Z klonów Chromium nastawionych na prywatność jest jeszcze jeden godny polecenia – Iron :)

    • Iron zdecydowanie najlepszy

  2. Co do założeń, realizacji itd. itp. OK! Ale w całej tej historii jest jeden problem…

    Nie powinno się powierzać już więcej danych Google czy FB czy jakiejkolwiek techno-korporacji ponad to co już mają. Sami się troszczmy o swoje hasła i uczmy dobrych praktyk – regularny przegląd kont, zmiany haseł raz do roku minimum, managery haseł itd. itp. Narzędzia do weryfikacji wycieków też są od dawna.

    To co robi Google, to kolejny krok w stronę spełnienia ich mokrego snu – zobacz jacy jesteśmy bezpieczni i zostań u nas. Używaj konta Google wszędzie, bo tylko tak jesteś bezpieczny. Używaj przeglądarki Google, bądź w niej permanentnie zalogowany i pospinaj konta w sklepach i gdzie się da z kontem Google – dla bezpieczeństwa. Taaaaa…

    Warto podkreślić – wszystkie te “udogodnienia” (czyli zróbcie to za mnie) odbywają się kosztem prywatności użytkownika. Warto podkreślić jeszcze, że “udogodnienia” zwiększają analfabetyzm internetowy i skoro jest tak dobrze, to czemu jest tak źle i przestępcy w necie mają coraz większe zyski…?

    • Google sam sobie powierza dane, bo dumpy wycieków są często publicznie dostępne. Akurat k-anonymity (czyli “pobieramy dane o wyciekniętych kontach tylko z pasującym do mojego prefiksem) jest bezpieczne i zapewnia odpowiednią prywatność, bo wysyłamy tylko hash naszej nazwy użytkownika.

      Inna sprawa, że chętnie bym sobie sam zahostował dane synchronizacji – zakładki, historię itp., zamiast polegać na chmurze Google.

  3. Abstrahując od tego, która przeglądarka jest bezpieczniejsza, lepsza, szybsza, bardziej anonimowa itp. cieszy fakt, że na rynku pojawiła się alternatywa, a to oznacza zwiększenie konkurencyjności. To z kolei oznacza, że twórcy muszą się prześcigać w nowych feature’ach przeglądarkowych.

  4. Jak dla mnie to w jednym zdaniu używanie zwrotów typu “Google”, “hasła”, “poufność”, “gwarancje” (“treści wpisywane przez użytkownika w pole typu “password” są w gwarantujący pofuność sposób zestawiane ze znanymi Google wyciekami”) od razu palą wszystkie bezpieczniki :-)

    Ja wiem że to hashowane, że tylko tylko 3 bajty, ale to brzmi jak “stado głodnych wilków wprowadziło opcję ochrony stada owieczek i gwarantuje bezpieczeństwo owieczek, spokój wypasu a wszelkie potencjalne przypadki pożarcia będą rozpatrywane indywidualnie na Posiedzeniu Watahy zgodnie z normą ISO, RSA, DSA, PHP i LSD i porównywane w wcześniejszymi przypadkami dla ochrony stada przed kolejnym pożarciem. Gwarantujemy to”

    • nie brzmi

    • Te trzy bajty pochodzą z hasha LOGINU, a nie hasła. To drastyczna różnica, bo po trzech bajtach można próbować słownikowo zgadnąć całość, ale w wyniku mamy tylko login, a nie hasło. Sam mechanim sprawdzania hasła jest bardzo bezpieczny, zwłaszcza porównując do mechanizmów z haveibeenpwned.com, które domaga się przysłania fragmentu hasha hasła, którym to już bez problemów można słownikowo zgadywać całe hasło.

    • @Bogdan “Podczas logowania, Chrome hashuje login i hasło użytkownika i wysyła do Google”

      “Sam mechanim sprawdzania hasła jest bardzo bezpieczny” – huehuehue. Na pewno jest bardzo bezpieczny do chwili. gdy nagle i niespodziewanie okaże się, że jednak bezpieczny nie jest.

      No i samo przesyłanie danych powiązanych z danymi do logowanie do Google – tylko czekać aż jakiś bank odrzuci reklamację klienta “bo mu ktoś się włamał i konto wyczyścił”. Używałeś Chrome? Tak. A wiesz że w umowie jest napisane że klient nie może udostępniać loginu/hasła? Tak. A wiesz że logując się udostępniłeś hasło Google? No tak, ale hashe, 3 bajty… Nevermind, udostępniłeś, oddalam.

    • @Moris:
      Artykuł ma błąd. Według grafiki z Google, którą załącza, 3 bajty hasha pochodzą wyłącznie z loginu, hasło w żadnej formie nie opuszcza przeglądarki.

  5. Czy Brave coś wam płaci za promowanie ich ?
    Wcale nie jest wiele wyżej w prywatności niż Chrome

    https://spyware.neocities.org/articles/browsers.html

    • Podsunąłeś zestawienie, które ma wysoko Pale Moon

    • Nie wiem co to za zestawienie, ale wystarczy wejsc w opcje Brave zeby przekonac sie ze bezpieczenstwo ma gdzies. Nawet chrome i opera sa lepsze w tym wzgledzie.

      To tak jakby ktos reklamowal swoj samochod jako bezpieczny, ale pasy sa na stale w opcji zablokowane (nie da sie zalozyc) a poduszek powietrznych nie ma i nie da sie zainstalowac.
      Moze i jest prawda ze nie wiem co jest pod spodem i co “chlopaki tam wymyslili” ale z niedorobkami na tym poziomie naprawde ciezko im zauwac.
      Nawet jesli ta przegladarka jest naprawde taka bezpieczna, co im szkodzi udostepnic opcje ktorych wlaczenie moze jedynie zmniejszyc dostepna “powierzchnie ataku”…?

    • moze ktos ze znawcow wypowiedziec sie na temat tego zestawienia?
      wiadomo ze Tor browser jest wysoko, ale porownywalnie z nim jest np chromium.
      jako poor privacy jest m.in. firefox i brave.
      jako shit privacy jest np chrome, wspomniana wyzej opera (jako ta z dobra prywatnoscia) i tez iron.
      zestawienie jest z lutego 2019, wiec nie jakies strasznie stare, choc pewnie sporo sie od tego czasu zmienilo (np. w firefoksie chyba).

  6. W kontekście Googla śmieszy mnie mocno tekst: “w gwarantujący poufność sposób”.

  7. Są na to rozwiązania. Albo na własnym serwerze albo VPS jakiś mieć i stawiać tam swoje własne rozwiązania chmurowe.

    • czy istnieje jakaś publicznie dostępna baza zestawiana w tak klarowny sposób jak to z czego oni korzystają?

  8. “albo VPS jakiś mieć i stawiać tam swoje własne rozwiązania chmurowe”
    Tylko powiedz pani Kazi, tej co chodzi na kawę do pana Marka zza rogu żeby sobie postawiła własne rozwiązanie chmurowe

    • Ale czemu mam coś komuś mówić? Rośnie nowe pokolenie, wychowane w dobie internetu. Instytucje przechodzą cyfryzację i niedługo dostęp do netu nie będzie dobrem w sensie usługi czy przywileju, ale PRAWEM jak prawo do wody, jedzenia i edukacji.

      A skoro tak, to albo zaczniemy ludzi kształcić na poziomie dostosowanym do XXI wieku, albo kolejne pokolenie owieczek będzie potulnie beczało w zagrodzie Gogla, Fejsa i innych tech-korpo.

      A teraz pytanie. Ile G zapłaciło podatku w PL za wykorzystywanie mnie, moich danych i danych innych Polaków? Bo z tego co widzę wartości tych firm rosną z roku na rok, monopolizacja internetu też i jakoś przeciwwagi nie ma… Jeżeli jestem produktem, to pytam się gdzie są te pieniądze na rozwój społeczeństwa bez nabytego cyfrowego analfabetyzmu.

  9. Dla wierzących w bezpieczeństwo przeglądarek www zalecam lekturę strony 293-295 autobiografii Snowdena.

    • nie o to chodzi

  10. Czyli już nie trzeba używać rozszerzenia Password Checkup extension ich własnego autorstwa?

    • Nie trzeba – to jest implementacja tego rozszerzenia, ale w natywnym kodzie.

  11. 3 bajty?
    Ja mam email dwuliterowy kl@…! Szach-mat gugiel. Tego nie przewidzieli. Zawieszę ich serwerownie. Admini Gugla mnie znienawidzą!

    • “3 bajty hasha SHA256” – hash ma stałą długość, nawet dla pustego stringa.

      Poza tym hashowane są login razem z hasłem.

  12. Brave często się zawiesza.Poklikałem ,poklikałem i wywaliłem. Lisek jest o klasę lepszy i działa płynnie.

  13. 3 bajty hasha sha256, który to składa się z suprise… 32 bajtów.

    • i?

      3 bajty to szansa przypadkowej zbierznosci na poziomie: 1 / (256*265*256) – pomijajac niewystepujace znaki czy charakterystyke hasha.
      Po co wiecej jesli mozna potwierdzic czy haslo jest identyczne juz na tym poziomie bez niepotrzebnego narazania potencjalnie bezpiecznych hashy? To akurat ta czesc calego pomyslu do ktorej mozna miec najmniej zastrzezen…

  14. od teraz google będzie znało nawet hasła użytkowników, nie wierzcie w ich zapewnienia, że będzie wysyłany jakiś hash itp. wszyscy jesteście profilowani itp. taka jest, niestety, prawda. facebook też przechowywał hasła w plain texcie itp. elo

    • Porównywanie gruszek do lufcika ma niewielki sens.

    • Moje i tak już znają. Jak chcesz mieć synchronizację między różnymi urządzeniami, to albo piszesz takie rozwiązanie samodzielnie, albo korzystasz z tego co jest. Wiele osób zapisuje hasło w Google i póki co żyją. NSA już wcześniej wiedziało co kupuję na alledrogo, a to że mają jeszcze mój numer karty i hasło do sklepów? No cóż, jestem zbyt biednym trybikiem w tej machinie żeby komuś chciało się mnie prześwietlać na wylot. Najwyżej ktoś zamówi prezerwatywy na mój koszt. Ważne żeby dotarły na miejsce :-P

    • Takie male trybiki najlatwiej skroic (nie maja jak sie efektywnie bronic), a ze jest ich od groma kasa tez nie jest mala. Nie zakladaj ze jestes bezpieczny z tak glupiego powodu.

  15. Firefox ma to już dawno…a Chrome jest do bani – sam śledzi i sprzedaje dane

  16. no tak brave lepsze bo obcina ciastka i telemetrię – zbyt słaby argument aby z tego korzystać, cenie sobie personalizację jak nigdy, bardziej bym się radował gdyby skarbówka nie zaglądała do mojego konta, bo co mi po kapitalistach? nic..

  17. >Sam mechanizm sprawdzania hasła jest bardzo bezpieczny

    hahahahaha

  18. Znalazłem błąd w jednym słowie “pofuność”.
    Wiem, że się trochę czepiam ale zmieńcie przy tzw. okazji.

  19. Dobrze, że coś takiego wprowadzają. Trzeba ukrócić ten proceder.

  20. Mozilla Firefox i jej pochodne posiadają tą samą możliwość od wersji 70.0.

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: