Вчера, 26 марта, команда разработчиков браузера Firefox представила новый продукт под названием Firefox Lockbox — менеджер паролей для мобильный устройств. Согласно странице FAQ проекта, сейчас доступна только версия для iOS, но «в ближайшее время появится и вариант для устройств под управлением Android». Возможно, FAQ просто не обновили, потому что в Google Play приложение уже есть и доступно для скачивания. Также для ознакомления можно посмотреть репозиторий проекта на GitHub.
Идея Firefox Lockbox одновременно и проста до банальности, и весьма символична, так как решает очень распространенный пользовательский кейс: извлечение паролей из браузера. Firefox Lockbox — по своей сути, тот же менеджер паролей, что и 1password или KeePass, однако имеет из коробки синхронизацию с одним из популярных браузеров. Приложение позволяет извлекать пользовательские пароли и переносить их в приложение без этапа передачи в открытом виде (если делать выгрузку логинов-паролей руками). Конечно, далеко не все пользователи способны извлечь свои данные, а некоторые даже не подозревают о такой возможности.
Но во всей этой истории есть несколько больших «но»: Lockbox работает только с аккаунтами Firefox, плюс не до конца понятно, кому он нужен и почему Mozilla выпускает моно-приложение для хранения паролей вместо того, чтобы заниматься более важными вещами.
Firefox как браузер переживает не лучшие времена. Согласно информации сервиса Statista, за 2018 год доля Firefox снизилась с 14% в январе до 10% в декабре с нижней точкой в 9,1% в ноябре.
При этом за тот же период доля Chrome возросла с 50 до 70% — основной прирост пользовательской базы Google получила за счет пользователей IE и Edge, что в конце прошлого года вылилось в отказ от дальнейшей разработки Edge на движке EdgeHTML и переход на Chromium. По другим оценкам доля Chrome чуть меньше — 65% десктопных устройств, но Firefox от этого не легче: его доля все так же оценивается в районе 9%. Браузер от Mozilla не может тягаться по уровню комфорта с Google Chrome в плане пользовательского опыта мультиплатформы, что также негативно влияет на показатели FF.
А нужен ли вообще Firefox Lockbox?
Первая мысль, которая посещает любого человека, знающего о существовании 1password или KeePass: «а зачем вообще нужен Lockbox»?
На самом деле придумать массовый юзеркейс для нового приложения от Firefox достаточно сложно. Все выглядит слишком специфично: Lockbox прибит гвоздями к Firefox и синхронизирует пароли только из него. Конечно, при миграции на ПК с, например, Chrome на FF, встроенные инструменты последнего позволяют вытащить все журналы и пароли из браузера Google, но что дальше?
Вполне вероятно, основная задача Lockbox — облегчить жизнь уже имеющимся пользователям Firefox на ПК и ноутбуках в плане UX на мобильных устройствах. Мы знаем, что FF для мобильных устройств как минимум специфичен, да и выбору браузера на том же Android-смартфоне пользователи уделяют намного меньше внимания, нежели при работе через полноценную станцию в виде ПК или ноутбука. Основной способ применения Lockbox выглядит следующим образом: «если вы работаете на ПК через Firefox, вам не надо будет думать о запоминании паролей и ручном вводе на мобильном устройстве, просто раскатайте Lockbox».
Решение это, как минимум, спорное. Firefox Lockbox — просто костыль, прокладка между браузером на ПК и мобильными устройствами, которая облегчит жизнь уже существующей пользовательской базе, но абсолютна бесполезна в плане привлечения новых пользователей, потому что на Chrome есть G-аккаунт, которому не нужны приложения для хранения паролей. Из преимуществ можно выделить только AES-256-GCM шифрование, протокол onepw и использование PBKDF2 и HKDF.
При этом в описании приложения в Google Play и appStore указано, что требуемая версия Android — 7.0 и выше, а iOS — 11.0 и выше, то есть под целевую аудиторию Firefox Lockbox подпадают только современные устройства, вышедшие на рынок в последние несколько лет. Назвать подобный подход к разработке не слишком дальновидными — это не сказать ничего. При все уменьшающейся доле рынка браузеров, команда разработки просто отсекла всех тех, кто пользуется устаревшими по мнению маркетологов, но еще рабочими девайсами. Да и актуальность Lockbox вызывает массу вопросов, когда на рынке уже минимум десятилетие существуют более хардкорные альтернативы.
Комментарии (46)
Cheater
27.03.2019 14:35-2Событие, к сожалению, вполне в стиле файрфокса последних нескольких лет. Firefox давно уже стал превращаться в комбайн из каких-то ненужных хреней (pdf.js, Pocket, Hello, теперь вот это), равно как и Mozilla, занимающаяся чем угодно (в основном маркетингом), только не техническим развитием браузера. Для ценителей прекрасного: privacynotincluded — промо-сайт от Mozilla, рекламирующий айпады, amazon kindle и тд. под соусом "отчётов о приватности". Но, справедливости ради, спасибо хотя бы за Servo и Rust.
funnycar
27.03.2019 14:45-2А как они испоганили новую вкладку с миниатюрами страниц. Теперь, лично для меня это нечто неюзабельное. И отдельный камень в огород мозилы — неотключаемая проверка обновлений.
sw0rl0k
27.03.2019 15:07+2И отдельный камень в огород мозилы — неотключаемая проверка обновлений.
about:config -> app.update.auto -> false
Хотя возможно это именно сами обновления, а не проверялка на наличие таковых. Ну проверялку можно в app.update.interval максимально отсрочить.
dartraiden
27.03.2019 16:55Этот ключ не существует уже с октября 2018 в регулярных выпусках.
Не прибегая к политикам, можно лишь отключить автоматическую установку, но не уведомления о наличии.
Отключить уведомления можно только через политики.sw0rl0k
27.03.2019 18:20В FF 66.0.1 на маке этот ключ есть. Может он не работает(я не проверял), но он есть.
dartraiden
27.03.2019 16:59неотключаемая проверка обновлений.
Всё прекрасно отключается через политики. Создать JSON-файл политик и положить его в нужное место, вроде бы, несложно.
dartraiden
27.03.2019 16:54Hello
Уже давно нет.
теперь вот это
Кто-то заставляет ставить в браузер дополнение, чтобы потом говорить, что он превращается в комбайн?
Amihailov
27.03.2019 15:35Это не тот Firefox, папку с профилем которого можно скопировать на другой компьютер, запуститься под этим профилем и посмотреть сохраненные пароли? :)
splav_asv
27.03.2019 16:17+1Это если без мастер пароля?
xFFFF
27.03.2019 16:59Без мастер пароля можно копировать))
dartraiden
27.03.2019 17:03Копировать файл можно в любом случае. Защита файлов на диске от копирования — это уже задача операционной системы (если пользователь не зашифровал диск, а кто-то загрузился с LiveCD, то этот кто-то может скопировать вообще любой файл в системе).
С мастер-паролем сам файл, в котором хранятся пароли, зашифрован. Его копирование вам ничего не даст.
Amihailov
27.03.2019 17:05Без мастер пароля, разумеется. Но по-умолчанию лис его и не требует, таким образом очень много пользователей, не понимая того, хранят пароли в не зашифрованной базе.
Хром эту задачу решил без мастер-паролей.
dartraiden
27.03.2019 17:01Да, а чего вы ожидали, если у вас пароли хранятся незашифрованными?
Amihailov
27.03.2019 17:04Я ничего не ожидал — я хромом пользуюсь :) Хром, кстати, по-умолчанию, шифрует пароли и при хищении папки профиля — ничего не покажет без ввода пароля от гугловской учётки.
Вот это нормальный подход, когда даже незнайка в безопасности.dartraiden
27.03.2019 17:07без ввода пароля от гугловской учётки
А Firefox позволяет шифровать пароли вообще без всякой учётки. Без гугловской, без мозилловской. Именно поэтому шифрование не включено по умолчанию.
Вы сравниваете Firefox без учётки с Chrome с учёткой. Попробуйте сравнить с Chrome, когда в него тоже не заведена гугловская учётка?Amihailov
27.03.2019 17:27Раз вы попросили, то я это воспроизвел :)
Установил на чистой винде в виртуалке последний хром и зашел на mail.ru, сохранив пароль. На своей машине убрал свою папку профиля и запустил хром (он, естественно, повел себя как свежеустановленный). Закрыл хром и переместил папку профиля из виртуалки, с заменой файлов.
Далее я запустил хром и что увидел? История из виртуалки на месте, а в паролях пусто.
Я вас ни в чём не убеждаю, я просто говорю о том, что браузер по-умолчанию должен заботиться о пользователе, в мире миллиард пользователей интернета — сколько из них айтишников?yefrem
27.03.2019 17:53строго говоря, это не означает, что пароли нельзя прочитать из файлов. Если они шифруются без ввода чего-либо, то было бы интересно узнать, как именно это работает.
dartraiden
27.03.2019 18:13Прочитать и расшифровать можно (например, ChromePass), но только на той же машине.
JTG
27.03.2019 18:48+2Не знаю как там сейчас обстоят дела, но раньше под виндой Chrome использовал DPAPI. Там примерно такая шляпа:
— Для каждой учётной записи Windows существует свой мастер-ключ.
— Если учётная запись Windows защищена паролем, мастер-ключ дополнительно им шифруется.
— Если учётная запись Windows НЕ защищена паролем и разработчик не озаботился эту ситуацию обработать (попросить пароль для хранилища), то данные будут «немножко зашифрованы» — от других пользователей на этой же системе.
Таким образом чтобы спереть пароли из хрома простым копированием профиля, нужно чтобы учётка была не запаролена (либо знать пароль) и вместе с профилем забрать ключи из %APPDATA%\Microsoft\Protect.
Подробнее: habr.com/ru/post/148602
dartraiden
27.03.2019 18:12+1История из виртуалки на месте, а в паролях пусто.
Это правильно сделано. Тут Chrome впереди, не спорю. Насколько я помню, у Mozilla были планы заменить всю текущую схему хранения паролей (потому что дефолтный менеджер писался кучу лет назад и использует недостаточно сильную криптогрфию) на Lockbox, поэтому они решили сосредоточиться на его развитии, а текущую реализацию не трогать, раз уж ей всё равно суждено помереть.
В принципе, если Lockbox допилят до возможности хранить пароли безопасно даже без входа в учётную запись Mozilla, то можно уже и заменять.
DaylightIsBurning
27.03.2019 17:29+11Браузер от Mozilla не может тягаться по уровню комфорта с Google Chrome в плане пользовательского опыта мультиплатформы
Пользуюсь Firefox на Linux, Windows, Android, все синхронизируется — никаких проблем. Что такого удобного в Хроме?
Revertis
27.03.2019 18:14+4Просто некоторые люди больше доверяют компании, которая продаёт их данные, чем компании, которая не занимается их продажей.
Busla
27.03.2019 23:19Несколько наивно подозревать Google в краже паролей, по продолжать использовать Android.
Revertis
27.03.2019 23:30+1Я думаю, что за все эти 10+ лет существования Андроида, и при том количестве энтузиастов, работающих с их кодом, кто-то всё-таки заметил бы утечку паролей с устройств. А вот то, что происходит за пределами устройства, это уже совсем грязный бизнес.
linux_id
27.03.2019 19:03+2На хроме не выскакивает надоедливая реклама хрома в поиске гугла. Вот и весь секрет его популярности.
DaylightIsBurning
27.03.2019 20:21+1ниразу её не видел — uBlock, наверное :)
ZetaTetra
27.03.2019 23:58(Не)навязчивая реклама и встраивание в ось по умолчанию.
Ещё заметил появление хрома в installShield'ах. Или что там сейчас распространено.
no404error
27.03.2019 18:55-1Дыра номер 2 в топе (после ДиД). Зачем ломать все подряд, если можно сломать менеджер паролей (расшифровать) конкретного человека (но непонятно зачем) и получить все и сразу?
p.s. Каким бы не был сложен пароль, он на 99.(9)% сливает многофакторной авторизации. И ломать не нужно хранилище паролей. Сломать сайт, найти недовольного сотрудника, повалить и сдампить…
Godless
27.03.2019 23:00+4не могу не вклиниться, когда ругают любимый браузер.
Может ФФ и неидеален на всех платформах, но он до сих пор тот самый браузер, который я могу настроить как хочу, блокировать что хочу и как хочу, ставить любые дополнения и тп. На андроиде использовал его еще с бэты. Он с каждым релизом все лучше и лучше. Пару скачиваний назад, обновление принесло серьезное ускорение рендера. Хотя первые версии были реально тормозные.
По сабжу, может приложуха и маленькую аудиторию найдет, но думаю она продолжит развиваться.
Идеальных браузеров до сих пор нет…Lemiort
28.03.2019 08:20Это приложение — именно то, в чём я нуждался. Добавить ещё генерацию паролей и пр. фишки менеджеров паролей и будет супер.
Мобильный FF — тоже без альтернатив. Какой ещё мобильный браузер поддерживает дополнения?Eidzo
28.03.2019 08:56Яндекс браузер в какой-то мере, я им пользуюсь. У огнелиса неудобный интерфейс на андроиде.
Bsplesk
28.03.2019 10:11-2После того как они плюнули в лицо пользователям и разработчикам отключив нативные расширения и сделав интерфейс Аля Google Chrome, за, что получили в Arch Linux переименование ярлыков в Google Chrome — странно, что им вообще кто пользуется. Пора бы уже им сменить движок, как Opera — и отправиться на свалку. По факту уже осталось 2.5 браузера. Ещё немного и будет один Google intranet.
Murimonai
28.03.2019 11:33+1Про расширения уже обсуждалось на хабре, да и не раз. Скорее положительный ход, чем отрицательный.
А интерфейс — вообще такое себе. Вкусовщина, одним словом.
Маловато чтобы на свалку отправляться.
Massacre
30.03.2019 10:43Положительный разве что в том смысле, что совсем положили на существующих пользователей, попытавшись отхватить что-то от Хрома. Но нет, обойдутся. Конечно, нужна альтернатива Хрому, но клонированием делу не поможешь.
mjr27
28.03.2019 11:22-1Как люди пользуются Keepass, я не понимаю. Совершенно же нефункциональная и неюзабельная хрень.
Долгое время плакал, кололся, но с плясками и танцами запускал лет 15 как всеми забытый Password commander. Потом сидел на самописном велосипеде. А с год назад внезапно обнаружил enpass. Жалкое подобие левой руки, конечно (нет шаблонизатора, нельзя сделать кнопку запуска программы, нельзя прикрепить файл, да и интерфейс подпорчен новомодным material раком), но в принципе съедобно. Есть linux/windows/android etc, синхронизация через любые облака. Рекомендую.mjr27
28.03.2019 11:27-1А, основное забыл. Оно proprietary & closed source, и написано индусами.
Так что паранойя до сих пор щекочется, это да.a1ien_n3t
28.03.2019 14:27Эээ всмысле закрытые? Вот же исходники github.com/dlech/KeePass2.x
И даже на сайте программы написанно что лицензия Open Source software (GPL)
Greatschemer
Прикрепите в опросе менеджер паролей LastPass. Сам им пользуюсь.