Comments 5
Зря они сразу не объявили, что данные будут храниться в месте, доступ к которому требует наличие админправ или в зашифрованном виде.
Всё равно ведь теперь придётся это реализовывать. И они должны были понимать, что это неизбежно придётся реализовывать. Сразу и надо было выпускать в таком виде и объяснить, как эти данные будут защищены, а теперь все запомнят, что это лежит незашифрованным, но мало кто запомнит, что проблему исправили.
Если для доступа будет достаточно знать пароль, то утечка уровня утечки нюдсов с телефонов знаменитостей лишь вопрос времени. Если есть огромная брешь конфиденциальности, про которую большинство даже не знают или не осознают - то она рано или поздно будет поэксплуатирована.
Для доступа к истории браузера и кукам, например, даже пароль знать не нужно (бери их из %AppData%, у текущего пользователя туда доступ по-любому есть), но почему-то не слышно призывов запретить браузеры и пророчеств, что всё будет плохо.
Вообще, Microsoft неоднократно декларировала, что не считает сценарий "злоумышленник получил пароль администратора/одобрение пользователя и поднял права" уязвимостью. Потому что если он получил, то пользователь их выдал, все претензии к пользователю. Если пользователь даст мне пин-код от экрана блокировки телефона, то это разве производитель телефона виноват? А если меня в квартиру впустили и я её ограбил, то замок был плохой?
Уязвимостью считается несанкционированное поднятие прав, например, в результате эксплуатации уязвимости.
Для доступа к истории браузера и кукам, например, даже пароль знать не нужно, но почему-то не слышно призывов запретить браузеры и пророчеств, что всё будет плохо.
Вообще, Microsoft неоднократно декларировала, что не считает сценарий
Надо поднимать грамотность пользователей, а не закрывать всё фразой "пользователь сам дурак".
Если пользователям объяснить, что все их действия на ПК пишутся каждую секунду, даже когда они включают приватный режим браузера, даже когда они вводят данные от карточек, даже когда они обмениваются нюдсами со своими партнерами, даже когда они думают, что никто не увидит чем они занимались - все эти данные могут легко утечь по их неосторожности или из-за новой уязвимости, от них не зависящей - вот если после этого объяснения пользователь сам ставит галочку, что эта фича ему нужна - тогда уже можно обсуждать, что там декларирует Microsoft, а не делать ложную отсылку к браузерам.
Сервисы с чувствительными данными закрывают "дыру" в виде браузера тем, что просят ввести 5 цифр из письма при нетипичном входе, вводят двухфакторную авторизацию или минимально присылают письмо о том, что кто-то входил с такого-то ip.
"Не прокатило. Вычеркиваем"
Microsoft на неопределённое время отложила запуск опции Recall из-за проблем конфиденциальности и безопасности