Vlákno názorů k článku
Firefox bude mít nového správce hesel Lockbox od - - - Standardizace ukládání hesel znamená i standardizaci útoků.

Standardizace ukládání hesel znamená i standardizaci útoků.

Standardizacia zlepsuje interoperabilitu, vyvoj a celkovo pokrok, bez standardizacie by nebol ani internet ani PC a kopec inych dobrych veci. Napr. Rovnaky konektor na kazdom mobile ;-)

Takže Firefoxí storage na hesla bude schopen používat i Chrome?

Security through obscurity není dobrý způsob zabezpečení.

Útočit zároveň na 500 správců hesel je těžší než útočit pouze na 2.
Přidat ke standardním způsobům i "nestadardizaci" některých věcí tedy objektivně zvyšuje náklady na provedení útoku, který zasáhne stejné procento uživatelů..

Ano, popisujete výhody Security through obscurity. Zapomínáte ale na jeho nevýhody – ta nestandardnost objektivně zvyšuje také náklady na obranu. Takže ve výsledku skončíte s 500 děravými správci hesel místo s 2 bezpečnými. To, že bude útok na 500 správců hesel trvat 250× déle, než útok na 2 správce hesel, je k ničemu. Zvýšení obtížnosti 250× je v bezpečnosti k ničemu, tam musíte počítat v řádech.

Systematicky zaměňuješ security THROUGH obscurity za Security with ADDITIONAL obscurity. Pouhá bezpečnost je slabší než bezpečnost s obscurity.

250x se budou násobit útočníkovy náklady na vývoj malwaru. Musel by každého z těch 500 správců hesel stáhnout, nainstalovat a podívat se, kam a jak to ukládá hesla. To nikdo dělat nebude. (Byl tu někdy nějaký banker trojan, který by uměl třeba i jen 100 webů?) Útočník bude muset přejít na "obecnou" metodu útoku, jako například zavěsit se na programy, které hesla nejčastěji používají.

Skončím s 500 děravými správci hesel místo 2 bezpečných? Zhruba stejně jako jsem skončili s 500 děravými linuxovými distribucemi místo 2 bezpečných.

Doplnil bych:

* Spousta nedodělaných správců sníží náklady na cílený útok.
* Pokud není v prohlížeči vhodné API a je potřeba to tam nějak dodělat, zvyšuje se riziko chyby.