Solo lectura

Google Chrome - Foro de ayuda

Esta página web es un archivo de los hilos antiguos de los foros de Google. Más información

Seguridad explorador

Jonathan Almada
12/07/15 0:39
Resulta que estuve viendo que con la herramienta inspeccionar elemento se puede averiguar las contraseñas autoguardada en el explorador , ¿por que todavía no hay encontrado la manera que eso no pase? Es muy facil que otra persona te use el ordenador y averigue tus contraseñas.

Respuestas (4)

fpardo
12/07/15 9:53
Hola Jonathan, resultará fácil averiguarlas con el inspector pero también es fácil conseguirlo con aplicaciones específicas que hay para ello. El problema está en almacenar contraseñas en el navegador y a continuación compartir el equipo. Aunque no supiesen cual es la contraseña podrían igualmente acceder a los sitios que pretendes proteger. Aunque son dos problemas distintos yo los consideraría igual de graves.

En parte lo puedes resolver utilizando un usuario del sistema operativo con contraseña y no compartiéndolo con nadie. No es ultraseguro pero puede servir en entornos "domésticos".

También puedes sincronizar Chrome con tu cuenta de Google y eliminar el perfil de usuario cada vez que abandones el equipo. Cuando lo retomas vuelves a iniciar sesión en Chrome y toda la configuración que estaba almacenada en la nube se restablece. Es más seguro pero muy incómodo.
La mejor solución consiste en utilizar un Chromebook ya que ha sido creado pensando en la seguridad y no adolece de las vulnerabilidades que tienen los sistemas operativos convencionales. Antes de prestar el equipo cierras la sesión y ya no podrán entrar en ella si no conocen la contraseña. Tampoco podrán instalarte ningún troyano ya que cualquier modificación del sistema pasa por un borrado completo de sus datos y por una clara y permanente advertencia durante el arranque de que el sistema "está tocado".
Jonathan Almada
12/07/15 10:51
Gracias a todos por las respuesta , pero creo que Google tendría que resolver este problema y no dejar tan fácil conseguir la contraseña , se que con otros tipos de herramientas se pueden conseguir pero necesitas mas tiempo en el ordenador y se que también puedo bloquear el equipo , es un ordenador muy personal , pero entonces la Seguridad que te da chrome en este caso es muy vulnerable , te muestra los asteriscos y pero con 5 segundos podes conseguir la contraseña muy rápido.
Aparte mayormente lo que buscan una contraseña de esa manera son gente que solo quiere hacer daño con poca habilidad informatica (ya que es muy sencillo).

avm99963
12/07/15 13:29
¡Hola a los 2!

Con tu permiso, @fpardo, me gustaría añadir una traducción de una respuesta a una de las preguntas más frecuentes sobre seguridad de Chromium[1]:

¿Y qué pasa con poder revelar las contraseñas con las herramientas de desarrolladores de Chrome (developer tools)?

Algunas personas a veces reportan que se pueden averiguar las contraseñas usando la función inspeccionar elemento (véase https://code.google.com/p/chromium/issues/detail?id=126398 por ejemplo), porque piensan que "si puedo ver la contraseña, debe ser un bug." Sin embargo, este es únicamente uno de los ataques físicos y locales descritos en la sección, así que esos puntos se aplican aquí también.

Para explicarlo mejor, la contraseña está enmascarada como parte del comportamiento normal solo para prevenir que se revele a personas que están viendo la pantalla pasivamente, y no porque sea un secreto que el navegador no conoce. El navegador conoce la contraseña en bastantes capas, incluyendo JavaScript, las herramientas de desarrollador, la memoria del proceso, etc. Cuando tienes acceso físico al ordenador, y solo cuando tienes acceso físico al ordenador, hay, y siempre habrá, herramientas para extraer la contraseña de cualquiera de estos sitios.

De nuevo, mira la sección que trata sobre ataques físicos para las maneras adecuadas para mitigar riesgos locales.

Traducción de la pregunta sobre ataques físicos:

¿Porqué los ataques físicos no están en el modelo de amenazas de Chrome?
La gente a veces reporta que pueden comprometer Chrome al instalar un DLL malicioso en un sitio de un ordenador donde Chrome lo encontrará y lo cargará, o haciendo hooking a las APIs (véase https://code.google.com/p/chromium/issues/detail?id=130284 por ejemplo).

Consideramos que estos ataques están fuera del modelo de amenazas de Chrome, porque no hay ninguna manera de que Chrome (o cualquier aplicación) se defienda contra un usuario malicioso que ha conseguido iniciar sesión en tu ordenador como tú, o que puede ejecutar programas con los privilegios de tu usuario del sistema operativo. Tal atacante puede modificar ejecutables y DLLs, cambiar variables de entorno como PATH, cambiar archivos de configuración, leer toda la información que tu cuenta de usuario posee, enviárselo por correo a ellos mismos, etc. Tal atacante tiene control total sobre tu ordenador, y no hay nada que Chrome pueda hacer para darte un una total garantía de inmunidad. Este problema no es exclusivo de Chrome ­— todas las aplicaciones deben confiar al usuario local del ordenador.

Hay algunas cosas que puedes hacer para mitigar los riesgos de que alguna persona tenga control físico sobre tu ordenador, en ciertas circunstancias.
  • Para impedir que la gente lea tus datos en casos de que el dispositivo sea robado o perdido, utiliza cifrado del disco entero (FDE). FDE es una característica estándar de la mayoría de sistemas operativos, incluyendo Windows Vista y posterior, Mac OS X Lion y posterior, y algunas distribuciones de Linux. (Algunas versiones antiguas de Mac OS X tenían cifrado parcial del disco: podían cifrar la carpeta home del usuario, que contenía la mayoría de la información personal del usuario.) Algunos sistemas FDE te permiten usar múltiples fuentes de material llave, como la combinación de ambas una contraseña y un fichero llave en un USB. Cuando estén disponibles, deberías usar múltiples fuentes de material llave para conseguir la defensa más fuerte. Chrome OS cifra las carpetas home de los usuarios.
  • Si compartes tu ordenador con otras personas, aprovecha de la capacidad de tu sistema operativo para administrar múltiples usuarios, y usa una cuenta distinta para cada persona. Para los invitados, Chrome OS tiene una cuenta de Invitado incorporada para este propósito.
  • Aprovecha la función de bloquear la pantalla de tu sistema operativo.
  • Puedes reducir la cantidad de información (incluyendo credenciales como cookies y contraseñas) que Chrome puede almacenar localmente usando la Configuración de Contenido de Chrome (chrome://settings/content) y desactivando el autocompletado de formularios y el almacenamiento de contraseñas (chrome://settings/search#password).
No hay casi nada que puedas hacer para mitigar riesgos cuando uses un ordenador público.
  • Asume que todo lo que hagas en un ordenador público va a convertirse, bueno, pues en algo publico. No tienes nada de control sobre el sistema operativo o otros programas en el ordenador, y no hay ninguna razón para confiar en la integridad de este.
  • Si debes usar tal ordenador, considera usar una ventana de incógnito, para evitar que las credenciales persistan. Esto, sin embargo, no ofrece ninguna protección cuando el sistema ya está comprometido como arriba.
Espero que la currada que me he pegado para traducir esto haya servido para que aprendas más sobre el modelo de amenazas de Chrome y el razonamiento por el que este tipo de ataques no están contemplados.

Saludos :-)

fpardo
12/07/15 14:19
Y tanto que ha servido, Adrià, ¡muchas gracias! :D

Saludos a todos.