паранойя, паранойя, я твой тонкий голосок

[brmail]

Не успел еще остыть пресс-релиз фирмы Амазон, опубликованный в среду, на тему новой планшетки, как народ уже заподозрил неладное. В своей планшетке Амазон реализовал новый веб браузер Silk (все тот же webkit естественно, но как бы "свой" ) главной фишкой которого является его интегрированность с облачным сервисом, который будет выступать в роли интеллектуального кэширующего прокси сервера. Что эти хитрые слова значат для пользователя - значат они что пойдя на любой сай браузер в самом деле не обращается к сайту напрямую. Он попросит страничку сайта у прокси. Прокси сходит на тот сайт, заберет запрошенное, и (вот тут включается интеллектуальная составляющая этого сервиса) если есть возможность откорректирует содержимое. Те например 12-ти мегапиксельные картинки он отдавать не станет - изменит сперва их размер, с учетом того, что у клиента всего 7 дюймов. И соответственно загрузка "тяжелых" ресурсов будет происходить быстро.
Win-Win ситуация, не правда ли? За исключением обычного privacy. Ваш амазоновский идентификатор при обращении к любым амазоновским сервисам будет передан, куда вы ходили на вебе и что там делали будет обязательно в логах прокси, и хранится оно там будет обязательно, это не прихоть а закон. Но не это самое неприятное. Ну сходил дядька на порносайт и ему будет стыдно если его дети будут об этом знать, но это только стыдно. А вот хуже этого, если сходил дядька в банк, там заплатил по счетам, а потом сервис амазона хакнули, и дядька остался без денег на счету, так как прокси будет подставлять сертификат удостоверяющий что все все в порядке и ваше соединение с банком по https прекрасно установлено. А это уже называется Man-in-the-middle attack . и когда в логи попадает то что должно ходить только шифрованным это не дело. И закончится плохо.
Так что здравствуй, паранойя. Единственным утешением служит то, что включенный по умолчанию режим оптимизации можно будет выключить, и тогда браузер не должнен ходить в интернет через прокси.

Comments

[brmail]

ну так это прокол банка, а не человека. Никакого труда не составит попросить (со стороны сервера) клиентский браузер не запоминать значение поля password. То, что есть банки, которые этим еще не озаботились (а есть такие?) это временно, до первого обвинения в суде.

[nhura.livejournal.com]

Учитывая количество паролей, которые нынче приходится запоминать, неудивительно, что народ использует одни и те же пароли везде на свете. Я - не исключение. Значит, находим пароли к другим местам и проверяем, какой подойдёт банку.
Я как-то раз взломал таким образом почту козла, который спёр мою кредитку и назаказывал порнухи.

[brmail]

Ну тут уж сам себе злобный буратино. Лень помнить пароли - заведи программу, которая сможет бегать на любом из твоих гаджетов и умеет закрыть свой файл паролем и хранить в нем все пароли что тебе нужны. Программ таких вагон и маленькая тележка. Платные, бесплатные - на любой вкус. После чего пароли можно вообще не помнить. Или помнить пару самых часто используемых. А остальные держать как автосгенерированное: длинное и нечитаемое

[brmail]

опять же, для банка уж сам бог велел помнить отдельный пароль. Не такой как у почты или на форумах. При этом легче всего запомнить алгоритм составления пароля, чем сам пароль. Например создаем темплейт для паролей банка: Год рождения, первая буква в названии банка UpperCase, свое имя, последняя буква в названии банка UpperCase, номер квартиры, первая буква в имени жены, первые три цифры от номера счета в этом банке. Итого все что надо выучить три цифры от номера счета
Вероятность что сопрут пароль у самого банка - невелика. Они вероятнее всего пароли и не хранят, только хеши. Самому смотреть чтобы пароль кому не подарить. Сменил банк - темплейт тот же , выучил три цифры, пароль новый. Не слишком секретно если кто то знает темплейт. Если составить его более хитро (и один раз выучить) то перебирать будет дофига.