The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla отключила дополнительную аутентификацию для систем без мастер-пароля

16.05.2020 09:09

Разработчики Mozilla без формирования нового выпуска через систему экспериментов распространили среди пользователей Firefox 76 и Firefox 77-beta обновление, отключающее новый механизм подтверждения доступа к сохранённым паролям, применяемый на системах без мастер-пароля. Напомним, что в Firefox 76 для пользователей Windows и macOS без установленного мастер-пароля для просмотра сохранённых в браузере паролей начал выводиться диалог аутентификации ОС, требующий ввода системных учётных данных. После ввода системного пароля доступ к сохранённым паролям предоставляется на 5 минут, после чего пароль нужно будет ввести повторно.

Собранная телеметрия показала аномально высокий уровень проблем при аутентификации с использованием системных учётных данных при попытке доступа к сохранённым в браузере паролям. В 20% случаев пользователи не смогли пройти подтверждение и не получили доступ к своим сохранённым паролям. Выделены две основные причины, которые, вероятно, являются источником возникших проблем:

  • Пользователь может не помнить или не знать свой системный пароль, так как использует сеанс с автоматическим входом.
  • Из-за недостаточно чёткого пояснения в диалоге пользователь не понимает, что необходимо ввести системный пароль и пытается вводить пароль от учётной записи в Firefox Account, используемой для синхронизации настроек между устройствами.

Предполагалось, что системная аутентификация позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра, если в браузере не установлен мастер-пароль. На деле же многие пользователи не смогли получить доступ к своим сохранённым паролям. Разработчики временно отключили новую возможность и намерены пересмотреть реализацию. В частности, они планируют добавить более ясное описание о необходимости ввода системных учётных данных и отключить вывод диалога для конфигураций с автоматическим входом.

  1. Главная ссылка к новости (https://www.soeren-hentzschel....)
  2. OpenNews: В Firefox 78 появится менеджер процессов
  3. OpenNews: Продвижение Firefox 76 приостановлено. Доступен Firefox 76.0.1
  4. OpenNews: Релиз Firefox 76
  5. OpenNews: Mozilla тестирует сервис анонимных email-адресов Firefox Private Relay
  6. OpenNews: В ночные сборки Firefox добавлена поддержка WebGPU
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/52965-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, X86 (ok), 09:26, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Все правильно сделали. Это было очень спорное решение. Чтобы никто не получил доступ к паролям, надо ставить мастер-пароль или блокировать систему, если отходишь от компа.
     
     
  • 2.3, Ололо (?), 09:41, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Включили очередную непродуманную фичу
    > Обгaдились, потеряв ещё какое-то количество пользователей из своих 9%
    > Всё правильно сделали

    Согласен.

     
  • 2.14, мурзилла (?), 10:28, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Чтобы никто не получил доступ к паролям, надо ставить мастер-пароль

    теперь у владельца камеры за твоей спиной есть еще и твой мастер-пароль. Вдобавок к системному - ведь ты его уже ввел, чтобы разблокировать свой ящик.

    А спорное решение - потому что мы его приняли, как всегда, ЗА пользователей и вместо пользователей. Ну не давать же, в самом деле, им, безмозглым, решать, какие пароли и когда использовать?

     
     
  • 3.23, Суп из потрошков (?), 12:51, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Линукс, паранойя, конспирология и ложное ЧСВ всегда идут рука об руку.
     
  • 3.39, Kuromi (ok), 17:26, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Виндовс уже давно можно разблокировать биометрией. Даже на десктопе. сканеры отпечатков совместимые с Hello продаются давно.
     
     
  • 4.45, мурзилла (?), 00:48, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну вот, теперь фотка твоей мордочки и твои пальчики есть еще и у microsoft, ахахахаха!

     
     
  • 5.58, Аноним (58), 08:29, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А кто-то сомневался? Ты есть везде! Где надо.
     
  • 2.20, хотел спросить (?), 12:07, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мастер пароль это туфта, только FDE, TME, usb-token и лок на систему

    вот тогда можно говорить о какой-то защищенности

     
  • 2.24, Аноним84701 (ok), 12:55, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  или блокировать систему, если отходишь

    И как это поможет против угона лисиной БД с паролями?


     
     
  • 3.38, Fedd (ok), 17:18, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    usb-token спасет
     
  • 3.46, мурзилла (?), 00:49, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И от коронавируса, представь себе - тоже не поможет. И даже от триппера - тоже не.

    А вот от желания шибколюбопытного коллеги посмотреть, что у тебя там за парольчики, когда ты срочно выбежал в коридор ответить на личный звонок - помогло бы. Но мы его уже выключили, не беспокойся.

     
  • 2.57, Аноним (58), 08:28, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все последнее время мазила только двигает кровати.
     

  • 1.2, Аноним (2), 09:33, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Предполагалось, что системная аутентификация позволит защитить учётные данные от чужих глаз в случае оставления компьютера без присмотра"
    Хмм... Выгодит, глаза мурзилы не чужие! Спокойно, спокойно, это свои!

    "Разработчики Mozilla без формирования нового выпуска через систему экспериментов распространили среди пользователей Firefox 76 и Firefox 77-beta обновление, отключающее новый механизм" т.е. они в потенциале могут что угодно без обновления включить или отключить у пользователя удалённо, хмм... одного меня это смущает? Хотя чего это я, это же мурзила, этож свои! Всё нормально, спокойно, отставить волнения!

     
     
  • 2.7, Anonim (??), 09:54, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А то, что JavaScript на каждом, используемом тобой сайте, может быть изменён разработчиком сайта в любой момент тебя не волнует?
    В продвинутом, современном, продукте должна быть возможность телеметрии и возможности отключить новую фитчу, которая недостаточно проверена пользователями, чтобы избавить их от проблем.
     
     
  • 3.10, пох. (?), 10:03, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А то, что JavaScript на каждом, используемом тобой сайте, может быть изменён разработчиком
    > сайта в любой момент тебя не волнует?

    а то что вокруг него стоит мильен сэндбоксиков (похоже теперь правильно переводить это как коробочка из песка ;-) ограничений и, теоретически, сами апи тысячигласс изучают на предмет отсутствия у них доступа куда-то за пределы страницы (даже не всего браузера, и уж тем более не операционной системы пользователя, а конкретной страницы) - периодически ломая то что до этого работало - это, конечно же, малозначительные мелочи.

    > В продвинутом, современном, продукте должна быть возможность телеметрии и возможности
    > отключить новую фитчу,

    эх, вот если бы в продвинутых современных продуктах была бы еще громадная блямба с согласием пользователя на сбор телеметрии и управление шибкопродвинутым продуктом чужими дядями... Причем вот для этих самых феноменально-тупых - не дающая ни убрать ее, ни продолжить работу, осознанно не ответив на этот вопрос - чтоб совсем-совсем тупые вынуждены были его просто удалить, потому что работать он им так и не даст. А не зарытый в hidden preferences малозаметный свитч.

    Но почему-то единственные, кто так делают - microsoft, ага.

     
     
  • 4.18, Аноним (18), 11:33, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В предыдущей версии firefox помню у меня выходила всплывашка предлагающая выбрать что отправлять, не знаю это было дело рук мозилы или доработки в debian для firefox
     
     
  • 5.25, Суп из потрошков (?), 12:56, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это было в очень предыдущей версии, кажется. Но не уверен, давно не был в настройках ФФ.
     
     
  • 6.31, пох. (?), 15:12, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    это кусок этого самого "onboarding promo". Появляется (вопреки названию) не при запуске, а ВНЕЗАПНО в процессе работы (когда все что можно и нельзя уже слито) под рукой, вероятно, именно в надежде что ты машинально захлопнешь мешающися элемент интерфейса, даже толком не разглядев какую еще херню тебе хотели сообщить. Вперемешку с "а вот мы покет изобрели!", "а вот скриншотикииии!", "тебе срочно нужно создать учетку фуфлофоксакаунт!"

    Второй раз не показывается, пока ты не сресетишь профиль, разумеется.

     
  • 3.36, Аноним (36), 17:08, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это уже мне как пользователю решать, отключать фичу или нет, я со своей сторон... большой текст свёрнут, показать
     
     
  • 4.47, мурзилла (?), 00:51, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А это уже мне как пользователю решать,

    Нет, дружок - это мы тебя пользуем.
    Ишь, решать он надумал!

     

  • 1.4, mymedia (ok), 09:42, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    получается, никакой защиты и не было, раз её возможно так удалённо отключить
     
     
  • 2.6, мурзилла (?), 09:50, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хахаха! Конечно была - но не от меня же! Я и так знаю все ваши пароли - и даже умею отличить когда вы вводите пароль от "мразила акаунт" вместо системного.

     

  • 1.5, Аноним (5), 09:49, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пользователи подозревают подвох когда браузер просит ввести системный пароль
     
     
  • 2.8, пох. (?), 09:56, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Я одного не пойму только - ОТКУДА у мурзилы среди ее 3% пользователей взялось ТАКОЕ количество феноменальных кретинов?

    > Пользователи подозревают подвох когда браузер просит ввести системный пароль

    и немедленно захлопывают страницу с новостями релиза, выводимую принудительно после каждого апдейта, да. И дрыгающиеся кнопки и самооткрывающиеся диалоги, тоже принудительно показываемые мурзилой, тоже ухитряются не замечать.

    Но они не должны были суметь поставить себе что-либо, отличного от edge. КАК?!

     
     
  • 3.28, Аноним (28), 14:20, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты недооцениваешь феноменальных кретинов: они и расширения, как юблок ориджин, умеют устанавливать.
     
  • 2.29, X86 (ok), 14:22, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, там вроде как системный диалог отрывается, т.е. пароль вводится в систему, а не в браузер
     
     
  • 3.52, Аноним (52), 13:18, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты эти диалоги как отличать собрался? думаешь, что умнее бабушки, но ты не умнее бабушки.
    нарисовать диалог визуально совпадающий с системным - не проблема.
    окно диалога особенное - оно не отображается в списке окон на панели задач.
     

  • 1.9, Корец (?), 10:01, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Собранная телеметрия показала

    Всё яно

     
     
  • 2.12, мурзилла (?), 10:05, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Собранная телеметрия показала, что дальше собирать ваши пароли нет смысла - все что нам прислали, было 123123.

    А такие у нас и так есть, незачем зря нагружать суперкластеры по слежке за пользователями сбором дополнительных.

     
     
  • 3.40, Kuromi (ok), 17:33, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы там новости по диаганоли читали? Мозилла не собирает системные пароли, а запрашивает ОС провести повторную авторизацию пользователя. Сравнивает введнное с верным паролем ОС, которая отвечает мозилле верно или неверно был введен пароль.
    Еслив Файрфоксе установлен Мастер-пароль, тогда его проверяет сам браузер, да.
    Не знаю насчет концентрации идиотов в среди пользователей Мозиллы, но её явно не больше чем где либо.
     

  • 1.11, Повидло19 (?), 10:04, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В результате пользователи ещё больше тупеют.
     
  • 1.13, Аноним (13), 10:26, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понял, теперь что, сохранять пароли в firefox в менеджере паролей нельзя что-ли если на него дополнительный пароль не установлен?
     
     
  • 2.37, And (??), 17:08, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Немного иначе, софтина, не имеющая отношения к работе, может для себя попросить лишний раз ввести логин пароль от твоей рабочей станции, откуда ты админишь сервера предприятия с оборотом в миллиард в Чёрную пятницу в ноябре и в декабре в разгар торговли под Новый год. Под чужими камерами наблюдения.

    Ребята выглядят немного зарвашимися в отдельных своих идеях деградации браузера. Ну, прощай ФФ - из департамента защиты бизнеса предприятия. Уже Хром теперь. Доулучшались.

     
     
  • 3.41, Аноним6544 (?), 18:55, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так хром так же спрашивает логин и пароль от системной учётки когда ты пытаешься сохранённые пароли посмотреть, смысл шило на мыло менять?
     
     
  • 4.42, And (??), 20:15, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По совокупности качеств разработчика. ФФ стал на шаг дальше от возможностей.
     
     
  • 5.59, Аноним (58), 08:30, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это происходит уже достаточно долгое время.
     

  • 1.15, Аноним (15), 10:46, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Теперь что-ли чтобы зайти на сайт нужно будет вводить пароль? Тогда зачем автосохранение паролев вообще нужно? А чего ушли, к тому пришли
     
     
  • 2.30, anonz (?), 14:42, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты пидap чтоли? у людей разные пароли везде и запомнить один куда легче, чем все. А тупое автозаполнение без пароля - привет какирам
     
     
  • 3.35, пох. (?), 16:34, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, типа, привет!

     

  • 1.16, Аноним (16), 10:58, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    требует ли оно пароль каждый раз при запуске, как раньше?
     
  • 1.17, Аноним (17), 11:06, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собранная телеметрия показала недостаточное количество собранных у пользователей сохранённых паролей.
     
  • 1.19, Аноним (18), 11:37, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пароль от системной учётки они научились брать, а сертификаты из системы импортировать не научились
     
     
  • 2.51, Аноним (52), 13:08, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это типа "фича"
     
     
  • 3.60, Аноним (58), 08:32, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это типа они опять лоханулись.
     

  • 1.21, Аноним_t (?), 12:24, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Пользователь может не помнить или не знать свой системный пароль, так как использует сеанс с автоматическим входом.

    По-моему, это было очевидно изначально. От многих действий мозиллы в последнее время остаётся впечатление, что их целью является оттолкнуть оставшихся пользователей.

     
     
  • 2.32, пох. (?), 15:14, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Серьезно? Очевидно?
    Где вы выращиваете этих пользователей, в каком инкубаторе?

    Как они умудряются себе поставить файрфокс, кто им разрешил?!

     
     
  • 3.44, Аноним_t (?), 22:32, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Практически у всех моих знакомых пользователей венды автологин. А это значит, что через какое-то время пароль они забывают. Либо изначально не знают, потому что венду им поставил знакомый. (И Файрфокс тоже он поставил).
    А если ты думаешь, что все должны каждый раз при включении компьютера вводить пароль длиной 20 символов с обязательным включением знаков препинания и цифр, то у тебя просто проф. деформация, бро.
     
     
  • 4.48, пох. (?), 01:07, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Практически у всех моих знакомых пользователей венды автологин.

    Да откуда они знают про автологин? Я вот сам сейчас не вспомню, через какую задницу он там включается.

    > Либо изначально не знают, потому что венду им поставил знакомый. (И Файрфокс тоже он поставил).

    вот ведь с-ка! Походу, примерно так дело и обстоит, конечно - то есть 90% пользователей фуфлофокса, которые не умеют отключать телеметрию, получили его по милости друзей-диверсантов (при этом не отключивших им телеметрию), и теперь просто не знают, как выбраться. А за теми не залежится и пароль из 20 символов поставить.

    > А если ты думаешь, что все должны каждый раз при включении компьютера вводить пароль длиной 20
    > символов

    меня вполне устраивают пять - этого вполне достаточно как раз на случай васяна, решившего между делом заглянуть, а что там у меня кроме порнухи (дурак, нет там ничего кроме, а развидеть это тебе теперь - не знаю, как). А леновы со сканером у меня уже, к сожалению, нет (асер, сохраняющий bmp с твоими пальчиками прямо на диск, понятно куда идет). Хотя периодически показать мурзиле средний палец было бы ценной фичей.

    Но вообще-то их для этого пришлось вручную задавать. Иначе бы учетка получилась без пароля - за исключением корпоративной десятки. Корпоративная семерка неназойлива, пока в домен не воткнешь, тоже никаких паролей от тебя не требует, надо сознательно озаботиться. И тем более ее более дешевые версии.
    Насколько я помню - хом-десятка тоже, но опять же понадобится васян-знакомый, чтобы нажать за юзера малоприметную кнопку - завести себе live account без пароля не получится, и сделать автологин им - можно, но не для юзера эта задачка.

     

  • 1.22, And (??), 12:33, 16/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какие-то забывшиеся школьники из своего маня-мирка. Эксперименты с чужими людьми, какие-то в соседней новости глупые панели.

    И правда, будто их кто-то специально хочет развалить изнутри.

    Причём года 4 назад уже было. Зашкал самоуверенной гордости от имени этих нескольких десятков разрабов, при попытке выйти на связь.

     
     
  • 2.43, Аноним (43), 20:34, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так говоришь, будто этим занимаются не буквально все. Или то, что можно гулагу и мс, нельзя всем остальным? Они не "заслужили" право терроризировать пользователей?
     
     
  • 3.49, пох. (?), 01:09, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну не то чтобы нельзя - но зачем нам ЕЩЕ один такой же? У нас уже есть один хром от ms на операционной системе от ms. Кстати, неплохо работает.

     

  • 1.50, Аноним (52), 13:05, 17/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Разработчики Mozilla без формирования нового выпуска через систему экспериментов распространили среди пользователей Firefox 76 и Firefox 77-beta обновление

    это что ещё за механизм такой?
    а что ещё они могут распространять таким образом?
    могут ли что-то в систему установить?
    лень родителям лису менять на хромиум (сам-то я уже давно).

     
     
  • 2.53, Аноним (53), 15:19, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поверь, в хромиуме всё ещё хуже. Только palemoon нас спасёт.
     
     
  • 3.55, Аноним (58), 08:26, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не спасёт. Палемун не всё откроет. А это уже не браузер по определению.
     
     
  • 4.61, Аноним (58), 08:33, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Легаси-браузеры - коллекция старьёвщика.
     

  • 1.54, Ва (?), 19:50, 17/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Выделены две основные причины, которые вероятно являются источником возникших проблем: ... Из-за недостаточно чёткого пояснения в диалоге пользователь не понимает, что необходимо ввести системный пароль и пытается вводить пароль от учётной записи в Firefox Account

    Откуда разработчики Mozilla узнали, что пользователи вводили пароль учетной записи ? Разве они получают доступ к вводимому паролю ?

     
     
  • 2.56, Аноним (58), 08:27, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они всё получают. Всё, что им надо. Но вслух говорить об этом не принято.
     

  • 1.62, Аноним (62), 15:20, 18/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Mozilla как обычно занимаются полной ерундой, вместо того чтобы делать действительно нужные вещи.
    Еще и за пользователя решают показывать ему пароли или нет.
     
  • 1.63, Аноним (62), 15:27, 18/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что это еще за система экспериментов такая! ПОЧЕМУ они устанавливают обновление без СПРОСА! Нужно подать на них в суд!
    Удаляю мазилу и устанавливаю microsoft edge
     
     
  • 2.65, Оно им (?), 11:06, 24/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так они уже давно этим занимаются втихушку.
     

  • 1.64, Дегенератор (ok), 08:03, 19/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    20% пользователей ФФ - кретины. Неплохо, неплохо...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру