Chrome - cancellazione password - effetti imprevedibili

[LUBO-BACK]

Condivido con voi un piccolo dramma, che mi ha portato a scoprire un dettaglio che non sapevo sul modo in cui Google salva le password dei vari siti.

Premessa: mia moglie "per fare pulizia" ha cancellato dal nostro account condiviso non solo la cronologia, ma anche alcune decine di password, alcune importanti. Per fortuna le password di chrome le avevo salvate anche su Microsoft Edge ed è bastato esportarle ed importarle dal relativo file csv. Tendo sempre a puntare su un certo grado di ridondanza.

Quello che mi interessa raccontare non è ovviamente il fatto, in sé banale, di avere perso le password e di riaverle ripristinate, ma un altro dettaglio... Aprendo Chrome da qualsiasi dispositivo collegato al mio account, andando a vedere le password salvate compariva una triste lista vuota. Nel contempo, se andavo ad aprire uno di quei siti per cui avevo scelto l'opzione "rimani collegato" o "collega ad ogni accesso" (opzioni che si trovano anche su questo forum) pur essendo state cancellate dall'account Google tutte le password, riuscivo ad accedere regolarmente ai predetti siti.

Ora, a me la cosa va anche bene, però la conclusione è che la rimozione delle password salvate sull'account Google non si estende a quelle dei siti per cui si è scelta l'opzione "rimani collegato". Non so se sia un bug, una criticità, se sia così per scelta, ma tant'è. Di certo, anche sotto il profilo della sicurezza, non è quello che mi sarei aspettato.

[derma]

viewtopic.php?f=13&t=648858&p=5292734

viewtopic.php?f=67&t=632577&start=20

[LUBO-BACK]

viewtopic.php?f=13&t=648858&p=5292734

viewtopic.php?f=67&t=632577&start=20

Forse non mi sono spiegato bene, non è che il browser mi proponga la password, è che proprio rimane loggato. Probabilmente uno dovrebbe "sloggare" il dispositivo dall'account e ricollegarlo per evitare questo effetto.

[derma]

Per tentare (io) di comprendere esattamente lo scenario in cui dici di esserti trovato...

- iscriversi ad un forum/social
- mettere il segno di spunta nel modulo per loggarsi affinché vengano ricordati password e nick/mail, e quindi non venga richiesta la loro immissione ogni qualvolta si accede a quel forum/social
- cancellazione delle password salvate in Chrome
- visitare quel forum/social
- ritrovarsi, alla successiva visita, loggato a quel forum/social senza che siano memorizzate le credenziali, password e nick/mail, in locale, ovvero in Chrome

...è (andata) così?... in questo ordine, giusto?

[LUBO-BACK]

Per tentare (io) di comprendere esattamente lo scenario in cui dici di esserti trovato...

- iscriversi ad un forum/social
- mettere il segno di spunta nel modulo per loggarsi affinché vengano ricordati password e nick/mail, e quindi non venga richiesta la loro immissione ogni qualvolta si accede a quel forum/social
- cancellazione delle password salvate in Chrome
- visitare quel forum/social
- ritrovarsi, alla successiva visita, loggato a quel forum/social senza che siano memorizzate le credenziali, password e nick/mail, in locale, ovvero in Chrome

...è (andata) così?... in questo ordine, giusto?

Esatto, proprio così. E da ogni dispositivo già loggato: pc windows, linux e telefoni android.

[derma]

Per tentare (io) di comprendere esattamente lo scenario in cui dici di esserti trovato...

- iscriversi ad un forum/social
- mettere il segno di spunta nel modulo per loggarsi affinché vengano ricordati password e nick/mail, e quindi non venga richiesta la loro immissione ogni qualvolta si accede a quel forum/social
- cancellazione delle password salvate in Chrome
- visitare quel forum/social
- ritrovarsi, alla successiva visita, loggato a quel forum/social senza che siano memorizzate le credenziali, password e nick/mail, in locale, ovvero in Chrome

...è (andata) così?... in questo ordine, giusto?

Esatto, proprio così. E da ogni dispositivo già loggato: pc windows, linux e telefoni android.

Con ogni dispositivo con cui ti loggavi, presumo tu usavi sempre Chrome. Se sì, era attiva la sincronizzazione delle sessioni per/in ogni dispostivo?


P.S.: Il primo punto, ossia "iscriversi ad un forum/social", fu dovuto a pedanteria, e poteva essere sottinteso, dato che era/è la condizione sine qua non.

[LUBO-BACK]

Per tentare (io) di comprendere esattamente lo scenario in cui dici di esserti trovato...

- iscriversi ad un forum/social
- mettere il segno di spunta nel modulo per loggarsi affinché vengano ricordati password e nick/mail, e quindi non venga richiesta la loro immissione ogni qualvolta si accede a quel forum/social
- cancellazione delle password salvate in Chrome
- visitare quel forum/social
- ritrovarsi, alla successiva visita, loggato a quel forum/social senza che siano memorizzate le credenziali, password e nick/mail, in locale, ovvero in Chrome

...è (andata) così?... in questo ordine, giusto?

Esatto, proprio così. E da ogni dispositivo già loggato: pc windows, linux e telefoni android.

Con ogni dispositivo con cui ti loggavi, presumo tu usavi sempre Chrome. Se sì, era attiva la sincronizzazione delle sessioni per/in ogni dispostivo?


P.S.: Il primo punto, ossia "iscriversi ad un forum/social", fu dovuto a pedanteria, e poteva essere sottinteso, dato che era/è la condizione sine qua non.

Sì, in realtà ti ho già risposto.

Siti/forum di riferimento: questo sito, github, reddit, forse anche altri, perché ne ho aperti un po' a caso (siti sui quali c'è attiva l'opzione di loggarsi in automatico). Opzione già attiva, ma è ovvio, prima che mia moglie cancellasse le password. Ecco, in questi siti, da qualunque dispositivo con un account google e chrome, anche dopo la cancellazione mi potevo loggare in automatico.

[woddy68]

Scusa...ma se ho ben capito hai scoperto l'acqua calda.
La memorizzazione delle password non ha nulla a che fare con i cookie. Quando accedi a un sito già visitato in precedenza e hai messo la spunta per ricordare la password, è il cookie che fa il lavoro, non c'entra niente Chrome.
Il gestore di password serve solo quando devi effettivamente fare il login al sito.

[xavier77]

Condivido con voi un piccolo dramma, che mi ha portato a scoprire un dettaglio che non sapevo sul modo in cui Google salva le password dei vari siti.

Premessa: mia moglie "per fare pulizia" ha cancellato dal nostro account condiviso non solo la cronologia, ma anche alcune decine di password, alcune importanti. Per fortuna le password di chrome le avevo salvate anche su Microsoft Edge ed è bastato esportarle ed importarle dal relativo file csv. Tendo sempre a puntare su un certo grado di ridondanza.

Quello che mi interessa raccontare non è ovviamente il fatto, in sé banale, di avere perso le password e di riaverle ripristinate, ma un altro dettaglio... Aprendo Chrome da qualsiasi dispositivo collegato al mio account, andando a vedere le password salvate compariva una triste lista vuota. Nel contempo, se andavo ad aprire uno di quei siti per cui avevo scelto l'opzione "rimani collegato" o "collega ad ogni accesso" (opzioni che si trovano anche su questo forum) pur essendo state cancellate dall'account Google tutte le password, riuscivo ad accedere regolarmente ai predetti siti.

Ora, a me la cosa va anche bene, però la conclusione è che la rimozione delle password salvate sull'account Google non si estende a quelle dei siti per cui si è scelta l'opzione "rimani collegato". Non so se sia un bug, una criticità, se sia così per scelta, ma tant'è. Di certo, anche sotto il profilo della sicurezza, non è quello che mi sarei aspettato.

Ho letto e riletto.
Ancora non ho capito quale sia la stranezza.

[LUBO-BACK]

Condivido con voi un piccolo dramma, che mi ha portato a scoprire un dettaglio che non sapevo sul modo in cui Google salva le password dei vari siti.

Premessa: mia moglie "per fare pulizia" ha cancellato dal nostro account condiviso non solo la cronologia, ma anche alcune decine di password, alcune importanti. Per fortuna le password di chrome le avevo salvate anche su Microsoft Edge ed è bastato esportarle ed importarle dal relativo file csv. Tendo sempre a puntare su un certo grado di ridondanza.

Quello che mi interessa raccontare non è ovviamente il fatto, in sé banale, di avere perso le password e di riaverle ripristinate, ma un altro dettaglio... Aprendo Chrome da qualsiasi dispositivo collegato al mio account, andando a vedere le password salvate compariva una triste lista vuota. Nel contempo, se andavo ad aprire uno di quei siti per cui avevo scelto l'opzione "rimani collegato" o "collega ad ogni accesso" (opzioni che si trovano anche su questo forum) pur essendo state cancellate dall'account Google tutte le password, riuscivo ad accedere regolarmente ai predetti siti.

Ora, a me la cosa va anche bene, però la conclusione è che la rimozione delle password salvate sull'account Google non si estende a quelle dei siti per cui si è scelta l'opzione "rimani collegato". Non so se sia un bug, una criticità, se sia così per scelta, ma tant'è. Di certo, anche sotto il profilo della sicurezza, non è quello che mi sarei aspettato.

Ho letto e riletto.
Ancora non ho capito quale sia la stranezza.

Credo di aver sottovalutato l'effetto del cookie...

[derma]

Scusa...ma se ho ben capito hai scoperto l'acqua calda.
La memorizzazione delle password non ha nulla a che fare con i cookie. Quando accedi a un sito già visitato in precedenza e hai messo la spunta per ricordare la password, è il cookie che fa il lavoro, non c'entra niente Chrome.
Il gestore di password serve solo quando devi effettivamente fare il login al sito.

Sulla base di quanto ho messo a mo' di lista nel secondo post di questo 3D...

- iscriversi ad un forum/social
- mettere il segno di spunta nel modulo per loggarsi affinché vengano ricordati password e nick/mail, e quindi non venga richiesta la loro immissione ogni qualvolta si accede a quel forum/social
- cancellazione delle password salvate in Chrome
- visitare quel forum/social
- ritrovarsi, alla successiva visita, loggato a quel forum/social senza che siano memorizzate le credenziali, password e nick/mail, in locale, ovvero in Chrome

...stai asserendo che il cookie immagazzina/salva le credenziali d'accesso di ogni sito/forum/social per cui si è messo il segno di spunta per ricordare le stesse e quindi non conserva, il cookie, soltanto le impostazioni riguardanti le modalità di accesso/log per ogni sito/forum/social per cui si è appunto messo il segno di spunta in questione?

[frapox]

Ora, a me la cosa va anche bene, però la conclusione è che la rimozione delle password salvate sull'account Google non si estende a quelle dei siti per cui si è scelta l'opzione "rimani collegato". Non so se sia un bug, una criticità, se sia così per scelta, ma tant'è. Di certo, anche sotto il profilo della sicurezza, non è quello che mi sarei aspettato.

È un comportamento atteso. Le password vengono salvate sul cloud di Google e sincronizzate tra tutti i browser che hanno accesso al cloud. Nel momento in cui le vai a eliminare, e sei loggato col tuo account Google, non le stai eliminando solo dal tuo PC, le stai eliminando proprio dal cloud. E tutti gli altri browser connessi si sincronizzeranno all'ultima transazione che è appunto "cancella tutto".

Comunque non è così solo per Google Chrome, che io sappia, ma la stessa cosa avviene anche con altri browser (Firefox, Edge).

Suggerimento: non basarti (solo) sul password manager di Chrome o altro browser ma salvati le password anche su un password manager dedicato (tipo KeePassXC). Io le salvo su un file .ods che ho in un filesystem CryFS criptato da password (e su Plasma apro con la funzione "caveau").

[woddy68]

@derma
No, i cookie non salvano nessuna password, ma permettono di mantenere loggato l'utente anche alle successive visite.

[derma]

@derma
No, i cookie non salvano nessuna password, ma permettono di mantenere loggato l'utente anche alle successive visite.

Come possono i cookie mantenere loggato l'utente se i cookie non salvano nessuna password e le password, come nel caso in questione, sono state cancellate in locale o, meglio, nel browser in uso, ossia Chrome?

[frapox]

Come possono i cookie mantenere loggato l'utente se i cookie non salvano nessuna password

Tramite un token di sessione?

I cookie sono piccoli file di testo che possono contenere qualsiasi tipo di informazione, ma di certo non contengono password (né in chiaro né hashate).

[woddy68]

@derma
No, i cookie non salvano nessuna password, ma permettono di mantenere loggato l'utente anche alle successive visite.

Come possono i cookie mantenere loggato l'utente se i cookie non salvano nessuna password e le password, come nel caso in questione, sono state cancellate in locale o, meglio, nel browser in uso, ossia Chrome?

Non chiudendo ogni volta la sessione.
Edit. ...per intenderci, quando metti la spunta non farai più alcun login quindi non serve la password, i cookie però di solito hanno una durata...

[derma]

Ora, a me la cosa va anche bene, però la conclusione è che la rimozione delle password salvate sull'account Google non si estende a quelle dei siti per cui si è scelta l'opzione "rimani collegato". Non so se sia un bug, una criticità, se sia così per scelta, ma tant'è. Di certo, anche sotto il profilo della sicurezza, non è quello che mi sarei aspettato.

È un comportamento atteso. Le password vengono salvate sul cloud di Google e sincronizzate tra tutti i browser che hanno accesso al cloud. Nel momento in cui le vai a eliminare, e sei loggato col tuo account Google, non le stai eliminando solo dal tuo PC, le stai eliminando proprio dal cloud. E tutti gli altri browser connessi si sincronizzeranno all'ultima transazione che è appunto "cancella tutto".
...

Mo' ci siamo... il salvataggio delle credenziale avviene, per così dire, lato server... perciò chiesi (anche)...

Con ogni dispositivo con cui ti loggavi, presumo tu usavi sempre Chrome. Se sì, era attiva la sincronizzazione delle sessioni per/in ogni dispostivo?

...ciò fa rimanere interdetti, esattamente come presumo lo sia rimasto @LUBO-BACK.


P.S.: Il token ha un periodo di validità, per quanto io ne sappia, ed in ogni caso col token ci deve essere una comunicazione sempre lato server, altrimenti si instaura una interrogazione/verifica a monte che non trova riscontro lato client... per sapere se tale utente/interrogazione possa dare esito positivo e proseguire nel processo si deve avere un riscontro, come nel caso dello streaming in cui il token si basa, essenzialmente ma non solo, sull'indirizzo IP, mancando o cambiando quest'ultimo, il processo non va oltre.

[frapox]

Il token ha un periodo di validità, per quanto io ne sappia

Certo, e infatti quando scade, scade la sessione e ti devi riautenticare. E la password la fornisci tu oppure il browser se l'ha salvata precedentemente nel suo db locale solitamente criptato (su Firefox è key4.db nella directory del profilo in uso). Db locale che viene sincronizzato col cloud, se è settato per farlo (su Chrome sicuramente lo è, di default, ma credo pure su Firefox).

PS. non necessariamente i cookie di sessione hanno una scadenza, comunque. Semplicemente è un cookie che contiene un codice univoco (random), appunto il token, che il server riconosce come valido quando lo legge dal browser (che glielo fornisce). Se lo riconosce come valido ti riapre la sessione da dove l'avevi lasciata l'ultima volta, se non lo riconosce ti riporta al login.

[derma]

Il token ha un periodo di validità, per quanto io ne sappia

Certo, e infatti quando scade, scade la sessione e ti devi riautenticare. E la password la fornisci tu oppure il browser se l'ha salvata precedentemente nel suo db locale solitamente criptato (su Firefox è key4.db nella directory del profilo in uso). Db locale che viene sincronizzato col cloud, se è settato per farlo (su Chrome sicuramente lo è, di default, ma credo pure su Firefox).

L'aggiunta al post che scrissi, non accorgendomi avessi tu già postato.


In ogni caso, la cosa, per quanto riguarda il funzionamento nello specifico, non è ispira sicurezza, anzi può proprio creare problematiche a livello di sicurezza. Io camcello le password, non termino la sessione, qualcuno ha accesso (fisicamente) al mio computer ed ecco che puo loggarsi senza che debba crackare o conoscere le credenziali.

[frapox]

In ogni caso, la cosa, per quanto riguarda il funzionamento nello specifico, non è ispira sicurezza, anzi può proprio creare problematiche a livello di sicurezza. Io camcello le password, non termino la sessione, qualcuno ha accesso (fisicamente) al mio computer ed ecco che puo loggarsi senza che debba crackare o conoscere le credenziali.

Uh beh, se uno ha accesso alla macchina può fare tante cose. Può rubare le password eventualmente salvate, può rubare i certificati, le chiavi private, le chiavi ssh avendo accesso quindi ad altri host, e può ovviamente accedere a tutte le sessioni web aperte. Di fatto può rubare l'identità di quella persona e agire in sua vece...

Comunque cancellare le password per avere più sicurezza ha senso da un certo punto di vista, per certi scenari, perché le password salvate con i password manager dei browser non hanno un tipo di crittografia forte ma sono facilmente aggirabili. Tra l'altro, mentre il portachiavi è aperto, un eventuale attacco di lettura della Ram potrebbe avere accesso alle password. Quindi se uno è un obbiettivo sensibile (attivista, politico, manager di azienda, etc.) e sa di essere preso di mira da agenzie di spionaggio/gruppi di hacker/altre aziende/etc. farebbe bene a non usare i password manager del browser né tanto meno salvare le password nel cloud di Google. Ma non mi pare sia il caso di @LUBO-BACK.