forum.opennet.ru - "Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг" (44)

"Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг"	+/–
Сообщение от opennews (??), 24-Авг-25, 11:34
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63754
Ответить \| Правка \| Cообщить модератору

Оглавление

Автотайпинг паролей небезопасен, говорили мне Хорошо, что под Вяленым Кипасс не, Аноним (1), 11:34 , 24-Авг-25, (1) +5

Кипасс спрашивает разрешения на доступ для сайта Разрешил для левака ССЗБ Нов, Аноним (3), 11:40 , 24-Авг-25, (3)

Ну то есть не безопасность, а сам себе дурак Не ограждения в сталелетейном за, Витюшка (?), 11:59 , 24-Авг-25, (6) –5

Запрос доступа - это и есть ограничения по твоей аналогии Если ты за них переле, Аноним (17), 13:37 , 24-Авг-25, (17) –1

Скрыто модератором, Аноним (16), 13:13 , 24-Авг-25, (16) –1
Ну дык, этож от вендузятников для вендузятников https marektoth com images pr, Аноним (26), 14:44 , 24-Авг-25, (26) –1

Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополн, Аноним (2), 11:39 , 24-Авг-25, (2) +16

На перенаправленной левой странице менеджер паролей вставку не предложит, а на и, Аноним (10), 12:27 , 24-Авг-25, (10) +2

Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, , Аноним (17), 13:39 , 24-Авг-25, (18) +4

И только из контекста блин понятно, что это затрагивает в основном хром хромиу, Аноним (4), 11:43 , 24-Авг-25, (4)

Метод работает и в Chrome и в Firefox Про firefox отдельная ремарка, что в нём , Аноним (10), 12:30 , 24-Авг-25, (11)

Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер , MxZS (?), 11:59 , 24-Авг-25, (5)

Ну битварден, например, сливал данные банковской карты по любому клику на капчу, Аноним9000 (?), 12:13 , 24-Авг-25, (9)
ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, ден, 12yoexpert (ok), 14:42 , 24-Авг-25, (25)

менетжер паролей pass безопасен если плюнуть на фундаментальные проблемы X clib, 0xdeadbee (-), 12:31 , 24-Авг-25, (12) +1

фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себ, 12yoexpert (ok), 14:48 , 24-Авг-25, (28) –1

У фанатиков работодателей, ты хотел сказать Далеко не весь софт в твоей системе, Аноним (38), 16:36 , 24-Авг-25, (38) –1

Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode, Аноним (43), 18:13 , 24-Авг-25, (43)
рабское мышление, не о чем разговаривать , 12yoexpert (ok), 18:27 , 24-Авг-25, (44) –1
У работодателей с проприетарным либами обязательно посещение офиса, если уж и да, Аноним (45), 18:34 , 24-Авг-25, (45)

Не говори за всех Поможет, если используются линукс-неймспейсы А теперь внимани, Аноним (38), 19:12 , 24-Авг-25, (47)

Так запускай несколько X-серверов на разных tty и не жалуйся , Аноним (48), 19:43 , 24-Авг-25, (48)

Малварь может коннектиться к любому из твоих tmp x11-unix, прикинь Да и удобс, Аноним (38), 20:10 , 24-Авг-25, (50)

Нет буфера обмена - нет проблемы И пользователь такой сидит как краб и таращит , щука улетела лебедь утонул (?), 15:05 , 24-Авг-25, (30)

Всегда вручную копирую пароли , Аноним (15), 12:56 , 24-Авг-25, (15) +1

Зловред - Всегда сижу и жду когда кто-нибудь скопирует пароль, Аноним (19), 13:45 , 24-Авг-25, (19) +1

Не доверяешь своему десктопу - изолируй в отдельный десктоп отдельного юзера , Аноним (36), 16:21 , 24-Авг-25, (36)

Все переходим на passkey, нечему будет утекать, Аноним (19), 13:47 , 24-Авг-25, (20)

Detecting Compromise of Passkey Storage on the Cloudhttps www usenix org syste, Голдер и Рита (?), 14:03 , 24-Авг-25, (22)

Оказывается, если пустить к себе домой постороннего человека для какой-то работы, YetAnotherOnanym (ok), 14:10 , 24-Авг-25, (23) +2
Никогда не пользовался именно браузерными хранилками паролей, потому что сама ид, Аноним (24), 14:29 , 24-Авг-25, (24) –1
Во времена XUL таких проблем не было , Аноним (27), 14:46 , 24-Авг-25, (27) +1
Да вы гляньте на видео Там норм отрисовка шрифтов Не ШГ Как они этого добилис, глаза втекли обратно (?), 15:01 , 24-Авг-25, (29) +1

Ты видео точно глядел Там Windows NT 10 0 , Аноним (26), 15:26 , 24-Авг-25, (31)

Да я только первые секунды Тьфу ты Так и знал, что засада , снова вытекли (?), 16:08 , 24-Авг-25, (34)

В Хроме на венде были самые паршивые шрифты Да и в Еже старом тоже, новый патча, Аноним (46), 19:05 , 24-Авг-25, (46)

Почему при вставке пароля окно подтверждения не вызвать через window open , Аноним (35), 16:09 , 24-Авг-25, (35)

Хороший вопрос Почему не делают это в отдельном окне, с возможностью ткнуть по , Аноним (36), 16:25 , 24-Авг-25, (37)

Люди вообще обленились Не хотят запоминать 2-3 пароля из 5 средней длины слов , Ценитель GPL рогаликов (?), 16:52 , 24-Авг-25, (39)

Скрыто модератором, Аноним (40), 17:41 , 24-Авг-25, (40)
20-30 100-200 паролей из Тролль , Любитель идиотов (?), 17:46 , 24-Авг-25, (41)

Ещё одна причина использовать блокировщики рекламы , Аноним (42), 17:59 , 24-Авг-25, (42) +1
NoScript, DasKolbass (?), 19:46 , 24-Авг-25, (49)
я знал, Аноним (51), 20:43 , 24-Авг-25, (51)

Сообщения [Сортировка по времени | RSS]

1. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +5 +/–

Сообщение от Аноним (1), 24-Авг-25, 11:34

Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага...

Ответить | Правка | Наверх | Cообщить модератору

3. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (3), 24-Авг-25, 11:40

Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем.

Ответить | Правка | Наверх | Cообщить модератору

6. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –5 +/–

Сообщение от Витюшка (?), 24-Авг-25, 11:59

Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак".

Ответить | Правка | Наверх | Cообщить модератору

17. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от Аноним (17), 24-Авг-25, 13:37

Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак.

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором –1 +/–

Сообщение от Аноним (16), 24-Авг-25, 13:13

Картинка то крутая.
https://www.animenewsnetwork.com/thumbnails/crop600x315gHL/h...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от Аноним (26), 24-Авг-25, 14:44

> Хорошо, что под Вяленым Кипасс не умеет автотайпить.
Ну дык, этож от вендузятников для вендузятников:
https://marektoth.com/images/protonui.png
https://marektoth.com/images/dombased-passkeys2.png
> Software: Greenshot [Greenshot is a light-weight screenshot software tool for Windows]
>

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +16 +/–

Сообщение от Аноним (2), 24-Авг-25, 11:39

Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку.

Ответить | Правка | Наверх | Cообщить модератору

10. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +2 +/–

Сообщение от Аноним (10), 24-Авг-25, 12:27

На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит.

Ответить | Правка | Наверх | Cообщить модератору

18. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +4 +/–

Сообщение от Аноним (17), 24-Авг-25, 13:39

Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника.

Ответить | Правка | Наверх | Cообщить модератору

4. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (4), 24-Авг-25, 11:43

И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть.
А в заголовок вынести это уточнение было нельзя?

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (10), 24-Авг-25, 12:30

Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click").

Ответить | Правка | Наверх | Cообщить модератору

5. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от MxZS (?), 24-Авг-25, 11:59

Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений.
Ну и сам факт того, что для эксплуатации этой "уязвимости" нужен доступ на управление веб-ресурсом или его поддоменом, сводит на нет претензии к разработчикам менеджеров, которые правильно подметили, что проблема фундаментальная, а не в их продуктах.

Ответить | Правка | Наверх | Cообщить модератору

9. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним9000 (?), 24-Авг-25, 12:13

Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере

Ответить | Правка | Наверх | Cообщить модератору

25. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от 12yoexpert (ok), 24-Авг-25, 14:42

ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от 0xdeadbee (-), 24-Авг-25, 12:31

менетжер паролей pass безопасен !
если плюнуть на фундаментальные проблемы X cliboard, за попытку отрефакторить которые мне в панамку напихали.
Package: pass
Version: 1.7.4-6
Priority: optional
Section: admin
Source: password-store
Maintainer: Colin Watson <cjwatson@debian.org>
Installed-Size: 131 kB
Depends: gnupg, tree
Recommends: git, qrencode, xclip, wl-clipboard
Suggests: libxml-simple-perl, perl, python, python3, ruby
Homepage: https://www.passwordstore.org/
Download-Size: 34.0 kB
APT-Sources: https://deb.debian.org/debian bookworm/main amd64 Packages
Description: lightweight directory-based password manager
Stores, retrieves, generates, and synchronizes passwords securely using gpg and git.

Ответить | Правка | Наверх | Cообщить модератору

28. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от 12yoexpert (ok), 24-Авг-25, 14:48

фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта
поневоле задумаешься, а в иксах ли дело?

Ответить | Правка | Наверх | Cообщить модератору

38. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от Аноним (38), 24-Авг-25, 16:36

У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass.

Ответить | Правка | Наверх | Cообщить модератору

43. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (43), 24-Авг-25, 18:13

Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок!

Ответить | Правка | Наверх | Cообщить модератору

44. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от 12yoexpert (ok), 24-Авг-25, 18:27

рабское мышление, не о чем разговаривать

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

45. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (45), 24-Авг-25, 18:34

У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали.
А раз на своё зонды ставишь, то Вейланд не поможет, программы все от одного пользователя работают, все хранилища паролей всем доступны.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

47. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (38), 24-Авг-25, 19:12

> если уж и дают работать из дома, то выдают преднастроенное железо с зондами
Не говори за всех.
> Вейланд не поможет
Поможет, если используются линукс-неймспейсы. А теперь внимание: линукс-неймспейсы + иксы = клиенты все еще могут скриншотить и кейлоггерить. А вот линукс-неймспейсы + вяленый = тотальная изоляция. Чуешь разницу? Уже догадываешься, почему иксы выпинывают из всех популярных дистров, DE, тулкитов и так далее?

Ответить | Правка | Наверх | Cообщить модератору

48. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (48), 24-Авг-25, 19:43

Так запускай несколько X-серверов на разных tty и не жалуйся.

Ответить | Правка | Наверх | Cообщить модератору

50. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (38), 24-Авг-25, 20:10

Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже.

Ответить | Правка | Наверх | Cообщить модератору

30. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от щука улетела лебедь утонул (?), 24-Авг-25, 15:05

Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от Аноним (15), 24-Авг-25, 12:56

Всегда вручную копирую пароли.

Ответить | Правка | Наверх | Cообщить модератору

19. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от Аноним (19), 24-Авг-25, 13:45

Зловред:
- Всегда сижу и жду когда кто-нибудь скопирует пароль

Ответить | Правка | Наверх | Cообщить модератору

36. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (36), 24-Авг-25, 16:21

Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга.

Ответить | Правка | Наверх | Cообщить модератору

20. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (19), 24-Авг-25, 13:47

Все переходим на passkey, нечему будет утекать

Ответить | Правка | Наверх | Cообщить модератору

22. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Голдер и Рита (?), 24-Авг-25, 14:03

Detecting Compromise of Passkey Storage on the Cloud
https://www.usenix.org/system/files/conference/usenixsecurit...

Ответить | Правка | Наверх | Cообщить модератору

23. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +2 +/–

Сообщение от YetAnotherOnanym (ok), 24-Авг-25, 14:10

> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницы
Оказывается, если пустить к себе домой постороннего человека для какой-то работы, он может получить доступ к вещам в доме. Вот сюрпрайз-то какой!

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака на браузерные дополнения с менеджерами паролей, исполь..." –1 +/–

Сообщение от Аноним (24), 24-Авг-25, 14:29

Никогда не пользовался именно браузерными хранилками паролей, потому что сама идея хранить пароли в приложении, через которое тебя в первую очередь будут ломать кажется тупой изначально.
Но если уж делать это в браузере, то это же очевидно что диалоги из таких дополнений должны быть вне пределов страницы. Например как у расширения для Яндекс Музыки. Встраивая что-то в страницу мы сразу даём возможность этим манипулировать изнутри страницы. Вроде бы это очевидно должно быть разрабам таких продуктов.
К слову такая же уязвимость есть не только в расширениях, но и в самом Хроме. Если пароль для сайта был запомнен, то он автоматически вводится в форму. Осталось только считать из неё данные или отправить на свой сервер.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от Аноним (27), 24-Авг-25, 14:46

Во времена XUL таких проблем не было.

Ответить | Правка | Наверх | Cообщить модератору

29. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от глаза втекли обратно (?), 24-Авг-25, 15:01

Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как они этого добились? Там же Линукс!

Ответить | Правка | Наверх | Cообщить модератору

31. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (26), 24-Авг-25, 15:26

> Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как
> они этого добились? Там же Линукс!
Ты видео точно глядел? Там "Windows NT 10.0"

Ответить | Правка | Наверх | Cообщить модератору

34. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от снова вытекли (?), 24-Авг-25, 16:08

Да я только первые секунды. Тьфу ты! Так и знал, что засада.

Ответить | Правка | Наверх | Cообщить модератору

46. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (46), 24-Авг-25, 19:05

В Хроме на венде были самые паршивые шрифты. Да и в Еже старом тоже, новый патчат специальными патчами, чтобы было нормально, в отличие от Хрома. Вот интерфейсный Segoe выглядит идеально, в линуксе только растровые шрифты приближаются к такому уровню, а всё остальное вырвиглаз хуже линукса.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

35. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (35), 24-Авг-25, 16:09

Почему при вставке пароля окно подтверждения не вызвать через window.open?

Ответить | Правка | Наверх | Cообщить модератору

37. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (36), 24-Авг-25, 16:25

Хороший вопрос. Почему не делают это в отдельном окне, с возможностью ткнуть по "показать подробнее" с указанием на то, в какой элемент предлагается вставка?

Ответить | Правка | Наверх | Cообщить модератору

39. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Ценитель GPL рогаликов (?), 24-Авг-25, 16:52

> Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.
Люди вообще обленились. Не хотят запоминать 2-3 пароля из 5 средней длины слов + знаки + цифры. В рецепте каких-нибудь блинчиков с начинкой слов и то больше!

Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором +/–

Сообщение от Аноним (40), 24-Авг-25, 17:41

Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность. Р.S. Сейчас в комментарии прибегут "мамкины безопасники" с криками "бумага, это небезопасно!!!".

Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Любитель идиотов (?), 24-Авг-25, 17:46

20-30... 100-200 паролей из.. Тролль!

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

42. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +1 +/–

Сообщение от Аноним (42), 24-Авг-25, 17:59

> Создание навязчивого элемента на странице, стимулирующего совершение клика.
Ещё одна причина использовать блокировщики рекламы.

Ответить | Правка | Наверх | Cообщить модератору

49. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от DasKolbass (?), 24-Авг-25, 19:46

NoScript

Ответить | Правка | Наверх | Cообщить модератору

51. "Атака на браузерные дополнения с менеджерами паролей, исполь..." +/–

Сообщение от Аноним (51), 24-Авг-25, 20:43

я знал

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+5 +/–
Сообщение от Аноним (1), 24-Авг-25, 11:34
Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага...
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (3), 24-Авг-25, 11:40
	Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–5 +/–
	Сообщение от Витюшка (?), 24-Авг-25, 11:59
	Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–1 +/–
	Сообщение от Аноним (17), 24-Авг-25, 13:37
	Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	–1 +/–
	Сообщение от Аноним (16), 24-Авг-25, 13:13
	Картинка то крутая. https://www.animenewsnetwork.com/thumbnails/crop600x315gHL/h...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	26. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–1 +/–
	Сообщение от Аноним (26), 24-Авг-25, 14:44
	> Хорошо, что под Вяленым Кипасс не умеет автотайпить. Ну дык, этож от вендузятников для вендузятников: https://marektoth.com/images/protonui.png https://marektoth.com/images/dombased-passkeys2.png > Software: Greenshot [Greenshot is a light-weight screenshot software tool for Windows] >
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+16 +/–
Сообщение от Аноним (2), 24-Авг-25, 11:39
Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+2 +/–
	Сообщение от Аноним (10), 24-Авг-25, 12:27
	На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+4 +/–
	Сообщение от Аноним (17), 24-Авг-25, 13:39
	Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
Сообщение от Аноним (4), 24-Авг-25, 11:43
И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть. А в заголовок вынести это уточнение было нельзя?
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (10), 24-Авг-25, 12:30
	Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click").
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
Сообщение от MxZS (?), 24-Авг-25, 11:59
Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений. Ну и сам факт того, что для эксплуатации этой "уязвимости" нужен доступ на управление веб-ресурсом или его поддоменом, сводит на нет претензии к разработчикам менеджеров, которые правильно подметили, что проблема фундаментальная, а не в их продуктах.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним9000 (?), 24-Авг-25, 12:13
	Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от 12yoexpert (ok), 24-Авг-25, 14:42
	ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

12. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+1 +/–
Сообщение от 0xdeadbee (-), 24-Авг-25, 12:31
менетжер паролей pass безопасен ! если плюнуть на фундаментальные проблемы X cliboard, за попытку отрефакторить которые мне в панамку напихали. Package: pass Version: 1.7.4-6 Priority: optional Section: admin Source: password-store Maintainer: Colin Watson <cjwatson@debian.org> Installed-Size: 131 kB Depends: gnupg, tree Recommends: git, qrencode, xclip, wl-clipboard Suggests: libxml-simple-perl, perl, python, python3, ruby Homepage: https://www.passwordstore.org/ Download-Size: 34.0 kB APT-Sources: https://deb.debian.org/debian bookworm/main amd64 Packages Description: lightweight directory-based password manager Stores, retrieves, generates, and synchronizes passwords securely using gpg and git.
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–1 +/–
	Сообщение от 12yoexpert (ok), 24-Авг-25, 14:48
	фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта поневоле задумаешься, а в иксах ли дело?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–1 +/–
	Сообщение от Аноним (38), 24-Авг-25, 16:36
	У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (43), 24-Авг-25, 18:13
	Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	–1 +/–
	Сообщение от 12yoexpert (ok), 24-Авг-25, 18:27
	рабское мышление, не о чем разговаривать
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	45. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (45), 24-Авг-25, 18:34
	У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали. А раз на своё зонды ставишь, то Вейланд не поможет, программы все от одного пользователя работают, все хранилища паролей всем доступны.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	47. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (38), 24-Авг-25, 19:12
	> если уж и дают работать из дома, то выдают преднастроенное железо с зондами Не говори за всех. > Вейланд не поможет Поможет, если используются линукс-неймспейсы. А теперь внимание: линукс-неймспейсы + иксы = клиенты все еще могут скриншотить и кейлоггерить. А вот линукс-неймспейсы + вяленый = тотальная изоляция. Чуешь разницу? Уже догадываешься, почему иксы выпинывают из всех популярных дистров, DE, тулкитов и так далее?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (48), 24-Авг-25, 19:43
	Так запускай несколько X-серверов на разных tty и не жалуйся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (38), 24-Авг-25, 20:10
	Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от щука улетела лебедь утонул (?), 24-Авг-25, 15:05
	Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

15. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+1 +/–
Сообщение от Аноним (15), 24-Авг-25, 12:56
Всегда вручную копирую пароли.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+1 +/–
	Сообщение от Аноним (19), 24-Авг-25, 13:45
	Зловред: - Всегда сижу и жду когда кто-нибудь скопирует пароль
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Аноним (36), 24-Авг-25, 16:21
	Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга.
	Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
Сообщение от Аноним (19), 24-Авг-25, 13:47
Все переходим на passkey, нечему будет утекать
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+/–
	Сообщение от Голдер и Рита (?), 24-Авг-25, 14:03
	Detecting Compromise of Passkey Storage on the Cloud https://www.usenix.org/system/files/conference/usenixsecurit...
	Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Атака на браузерные дополнения с менеджерами паролей, исполь..."	+2 +/–
Сообщение от YetAnotherOnanym (ok), 24-Авг-25, 14:10
> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницы Оказывается, если пустить к себе домой постороннего человека для какой-то работы, он может получить доступ к вещам в доме. Вот сюрпрайз-то какой!
Ответить \| Правка \| Наверх \| Cообщить модератору