Можно ли спрятать сохранённые пароли совсем?

sharpmind · №1

Здравствуйте всем.

Пытаюсь на работе пересадить всех на TB (Версия 3.0.3).
Контора довольно большая, в местном офисе ~250 учёток.
IMAP. Настроил LDAP-книжку, всё ищется по AD. Всё прекрасно.
Но потом обнаружил неприятную вещь:

В сохранённых паролях, нажимаешь "Отобразить пароли" - и видишь открытым текстом все пароли, которые сохранены в TB.
Для моего случая это два пароля - от почтовой учётки пользователя, и пароль доменного пользователя, под которым читается AD для LDAP-книжки.
Поскольку авторизация на почтовом сервере у нас доменная, то и оба эти пароля - доменные.

Пользователь отлучился, не залочив машину, злоумышленник открыл TB, посмотрел доменный пароль, всё в 10 секунд. Несекурно.

Да, есть мастер-пароль, и всё такое. Но!
Тогда мастер-пароль запрашивается при каждом запуске TB, что не есть удобно для пользователей. Нагибать пользователей на ввод ещё одного пароля - не вижу смысла.
В таком состоянии TB у нас просто неприменим. А хотелось бы.

Теперь вопрос.
Уважаемые, может быть, кто-то сталкивался с этой бедой и знает решение?
Например, отключить кнопку "Отобразить пароли", что ли...
Или вдруг где-то в глубоких настройках есть, хотя всё облазил - не нашёл.

Отредактировано sharpmind (04-03-2010 09:02:08)

Deim0s · №2

sharpmind,

Пользователь отлучился, не залочив машину, злоумышленник открыл TB, посмотрел доменный пароль, всё в 10 секунд. Несекурно.

Ну, если доступ к машине есть, пароли так или иначе можно увести за 10 секунд.

Например, отключить кнопку "Отобразить пароли", что ли...

Если же от честных людей , можно попробовать через userChrome.css, так:

Выделить код

Код:

#securityPrefs [label="Сохранённые пароли…"] {
  display: none !important;
}

или так:

Выделить код

Код:

#securityPrefs [label="Пароли"] {
  display: none !important;
}

sharpmind · №3

Deim0s пишет

Ну, если доступ к машине есть, пароли так или иначе можно увести за 10 секунд}

Но сильно более сложно. И не в этом дело. Лишняя дырка - плохо. Даже в решете.

Если же от честных людей , можно попробовать через userChrome.css, так:
...

Спасибо большое. :beer:

introvert · №4

Вопрос в названии темы свелся к "отключить кнопку". По мне, этого недостаточно, если "в местном офисе ~250 учёток". Найдутся желающие и способные увидеть пароли и без "кнопки", скопировав несколько файлов (signons.* и key3.db) из профиля. Даже блокировка консоли не поможет, т.к. можно выложить скрипт на сетевой ресурс и под каким-либо предлогом вынудить его запустить. Выходит, необходим хороший мастер-пароль.

Gopak · №5

Аналогично пользуемся мазилой но кнопки "Отобразить пароли" не вижу
Пользуюсь версией 3.0.2
Где эта уязвимость?

i-nternet · №6

Версия 3.1.2
Так и не смог убарть кнопочку "Сохранённые пароли"
У кого получилось - подскажите.
Пробывал

....profile\chrome\userChrome.css
@namespace url("http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul");
#securityPrefs [label="Сохранённые пароли…"] {
display: none !important;
}
и так
button#togglePasswords { display: none !important }

Отредактировано i-nternet (18-08-2010 23:30:05)

i-nternet · №7

Неужели никто не знает или не задавался вопросом?

i-nternet · №8

люди добрый - помогите!

okkamas_knife · №9

i-nternet
только что проверил на скачанном ТВ 3.1.2 трюк с юзерхром.цсс работает отлично.
может чтото делаешь не так?
распакуй этот архив прямо в папку профиля потом запусти тв.
(содержимое архива chrome\userChrome.css)
http://forum.mozilla-russia.org/uploaded/chrome.zip
и доложись о результатах плз
(дожна быть скрыта вся вкладка пароли, если из файла удалить нижние строчки то будет скрыта только кнопка)

i-nternet · №10

okkamas_knife
Спасибо.
Пробывал на ноуте с утсановленной windows7 - не получалось.
На windowsXP прекрасно убралась. Буду копать почему в 7 не убралась вкладка

okkamas_knife · №11

i-nternet пишет

Буду копать почему в 7 не убралась вкладка

проверь права доступа на папку и файл.

luitzen · №12

Файл должен быть сохранён в UTF-8, насколько мне известно.

sinnerLux · №13

какие ещё соображения есть по решению этого вопроса?

i-nternet пишет

profile\chrome\userChrome.css

у меня нет такого файла,как быть?

Крошка Ру · №14

sinnerLux а его там и не должно быть - есть userChrome-example.css который следует переименовать в userChrome.css удалив example или если вдруг нет и этого файла то просто создайте через блокнот новый документ и назовите его
userChrome.css

Добавлено 13-10-2010 16:55:25
.... а что это я собственно - всё есть же в Wiki > Настройка userChrome.css , и соответстующая тема > Настройка внешнего вида Firefox в userChrome.css

Отредактировано Крошка Ру (13-10-2010 16:50:59)

sinnerLux · №15

Крошка Ру
спасибо ,с файлом уже разобрался.
попробовал это

i-nternet пишет

button#togglePasswords { display: none !important }

получилось.
а вот вариант Deim0s во втором посте не прокатил,а он предпочтительнее,подскажите кто разобрался.

Deim0s · №16

sinnerLux,

а вот вариант Deim0s во втором посте не прокатил

Сохранять нужно в UTF-8.

sinnerLux · №17

так и есть

luitzen · №18

Да, там могут быть проблемы. Попробуйте так:

Выделить код

Код:

button[oncommand="gSecurityPane.showPasswords();"]
    {display: none !important;}

Отредактировано luitzen (14-10-2010 11:21:57)

sinnerLux · №19

luitzen
огромный сэнкс,заработало

Полезная информация