На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63754
Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага...
Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем.
Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак".
Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак.
Картинка то крутая.https://www.animenewsnetwork.com/thumbnails/crop600x315gHL/h...
> Хорошо, что под Вяленым Кипасс не умеет автотайпить.Ну дык, этож от вендузятников для вендузятников:
https://marektoth.com/images/protonui.png
https://marektoth.com/images/dombased-passkeys2.png
> Software: Greenshot [Greenshot is a light-weight screenshot software tool for Windows]
>
Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку.
На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит.
Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника.
И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть.А в заголовок вынести это уточнение было нельзя?
Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click").
Так говоришь как будто другие есть.
Естественно в линксе не заработает, там вообще скрипты жабьи не работают.
Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений.
Ну и сам факт того, что для эксплуатации этой "уязвимости" нужен доступ на управление веб-ресурсом или его поддоменом, сводит на нет претензии к разработчикам менеджеров, которые правильно подметили, что проблема фундаментальная, а не в их продуктах.
Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере
Т.е. если "битварден" оказался спайварем, то остальные тоже по умолчанию такие же? Если в Андроид есть ошибка или закладка, то она автоматом появляется в АйОС? И до куче в винде, линухе и т.п.?
ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены
Какие деньги? Он бесплатный и ставится локально.
менетжер паролей pass безопасен !
если плюнуть на фундаментальные проблемы X cliboard, за попытку отрефакторить которые мне в панамку напихали.Package: pass
Version: 1.7.4-6
Priority: optional
Section: admin
Source: password-store
Maintainer: Colin Watson <cjwatson@debian.org>
Installed-Size: 131 kB
Depends: gnupg, tree
Recommends: git, qrencode, xclip, wl-clipboard
Suggests: libxml-simple-perl, perl, python, python3, ruby
Homepage: https://www.passwordstore.org/
Download-Size: 34.0 kB
APT-Sources: https://deb.debian.org/debian bookworm/main amd64 Packages
Description: lightweight directory-based password manager
Stores, retrieves, generates, and synchronizes passwords securely using gpg and git.
фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта
поневоле задумаешься, а в иксах ли дело?
У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass.
Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок!
У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали.
А раз на своё зонды ставишь, то Вейланд не поможет, программы все от одного пользователя работают, все хранилища паролей всем доступны.
> если уж и дают работать из дома, то выдают преднастроенное железо с зондамиНе говори за всех.
> Вейланд не поможет
Поможет, если используются линукс-неймспейсы. А теперь внимание: линукс-неймспейсы + иксы = клиенты все еще могут скриншотить и кейлоггерить. А вот линукс-неймспейсы + вяленый = тотальная изоляция. Чуешь разницу? Уже догадываешься, почему иксы выпинывают из всех популярных дистров, DE, тулкитов и так далее?
Так запускай несколько X-серверов на разных tty и не жалуйся.
Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже.
Всё так. Но это лучше, чем полагаться на отсутствие дырок в проприетарных блобах видеокарты (и амд тут ничем не лучше, все блобы на месте, а иначе тыква).
Нэймспэйсы наверное самая дырявая подсистема в ядре, попытка натянуть концепты безопасности из 90-х на костыли из 70-х.
Работодатель представляет свой комп. На нём стоят руткиты от работодателя. Разумеется про безопасность ты можешь уже не думать - это дело работодателя. На свой личный комп очевидно я никакого софта от работодателя ставить не буду.
Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит.
> И пользователь такой сидит как краб
> и таращит.и перебивает текст вручную из одного окна в другое.
окей, допустим. безопасность никогда не была удобной и не будет,
так что пусть страдает.но клавиатурный ввод желающие могут угнать по-прежнему.
что против этого сделать я еще не придумал.
Всегда вручную копирую пароли.
Зловред:
- Всегда сижу и жду когда кто-нибудь скопирует пароль
Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга.
Все переходим на passkey, нечему будет утекать
Detecting Compromise of Passkey Storage on the Cloudhttps://www.usenix.org/system/files/conference/usenixsecurit...
> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницыОказывается, если пустить к себе домой постороннего человека для какой-то работы, он может получить доступ к вещам в доме. Вот сюрпрайз-то какой!
Никогда не пользовался именно браузерными хранилками паролей, потому что сама идея хранить пароли в приложении, через которое тебя в первую очередь будут ломать кажется тупой изначально.
Но если уж делать это в браузере, то это же очевидно что диалоги из таких дополнений должны быть вне пределов страницы. Например как у расширения для Яндекс Музыки. Встраивая что-то в страницу мы сразу даём возможность этим манипулировать изнутри страницы. Вроде бы это очевидно должно быть разрабам таких продуктов.К слову такая же уязвимость есть не только в расширениях, но и в самом Хроме. Если пароль для сайта был запомнен, то он автоматически вводится в форму. Осталось только считать из неё данные или отправить на свой сервер.
Во времена XUL таких проблем не было.
Аддоны, встраивающие свои элементы интерфейса в страницу сайта, всё равно существовали. Обычно это были всякие порты с хрома, как юблок.
Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как они этого добились? Там же Линукс!
> Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как
> они этого добились? Там же Линукс!Ты видео точно глядел? Там "Windows NT 10.0"
Да я только первые секунды. Тьфу ты! Так и знал, что засада.
В Хроме на венде были самые паршивые шрифты. Да и в Еже старом тоже, новый патчат специальными патчами, чтобы было нормально, в отличие от Хрома. Вот интерфейсный Segoe выглядит идеально, в линуксе только растровые шрифты приближаются к такому уровню, а всё остальное вырвиглаз хуже линукса.
Почему при вставке пароля окно подтверждения не вызвать через window.open?
Хороший вопрос. Почему не делают это в отдельном окне, с возможностью ткнуть по "показать подробнее" с указанием на то, в какой элемент предлагается вставка?
> Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.Люди вообще обленились. Не хотят запоминать 2-3 пароля из 5 средней длины слов + знаки + цифры. В рецепте каких-нибудь блинчиков с начинкой слов и то больше!
Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность. Р.S. Сейчас в комментарии прибегут "мамкины безопасники" с криками "бумага, это небезопасно!!!".
> Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе".Для одинокой станции на краю планеты вполне себе вариант.
> Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность.
К счастью других. Рот еще научат держать закрытым и мир станет лучше. Пишущий дегенерат с грамотной речью становится общественной проблемой.
Кроме записи пароля на физическом носителе ещё нужно обеспечить безопасное хранение физического носителя с паролем.
Я, например, клею носитель с паролем на дно клавиатуры, вряд ли атакующий догадается его там искать.
Жена? Или сам уборку стола делаешь и никого близко не подпускаешь?
20-30... 100-200 паролей из.. Тролль!
> 20-30... 100-200 паролей из..Ты же сам такую работу выбрал, где иначе нельзя. Или она тебя. Наслаждайся.
> Тролль!
Ни в коем случае! Те у кого другая работа, обходятся всего несколькими паролями.
Какую "работу"? У меня от личных сервисов (банки, почта, магазины, всякие учётки на сайтах) штук 200 паролей. У тебя, я так понимаю, он один везде?
> У меня от личных сервисов (банки, почта, магазины, всякие учётки на сайтах) штук 200 паролей.В магазинах верификация давно по смартфону или через приложение, как и в банке. Все данные о регистрациях в ру доменах 100% на серверах ФСБ и к ним имеет доступ любой сотрудник, даже деревенский участковый. Какой смысл там во множествах паролей? Есть сайты, вроде игровых и развлекательных где плевать на утечку.
> Какую "работу"?
Я подумал ты сайты администрируешь на удаленке и тебе столько нужно.
> У тебя, я так понимаю, он один везде?
Несколько. > 5.
> штук 200 паролей.
Ни в коем случае не осуждаю. Надо, значит надо. Твой выбор.
> Создание навязчивого элемента на странице, стимулирующего совершение клика.Ещё одна причина использовать блокировщики рекламы.
NoScript
Не зря я никогда не использовал эти интеграции в браузеры. Как в воду глядел.
Доступ одной программы к содержимому другой. Это как облачные антивирусы. Где-то обманывают, но пока не понял где.
Так и не понял в чём "уязвимость". Всё работает как надо - автоматическое подставление автоматически подставляет.
Суммаризирую.
Браузеры не делают API для управления секретами для того чтобы пользователь был прибит гвоздями к их инфраструктуре. Куча поделок все же пытаются что-то сделать на коленке и выходит с разной степенью юзабельности. При этом безопасность всего этого вперде.
А есть кто-то, кто пользуется менеджерами паролей?
Проблема в том, что в голове особо много паролей не запомнишь. Значит, ты их переиспользуешь. Значит, один дырявый сервис даёт доступ к твоей учётке на других сервисах.Другая проблема в том, что при этом смена пароля - это смена сразу на 100500 сервисах, что очень неудобно и плюс легко забыть где ты учётки насоздавал за 20 лет.
А если у тебя какой-нибудт KeePassXC, то и список сервисов под рукой, и логин и пароль, и пароли везде разные и сложные.
Другое дело, что никакими автоподстановками пользоваться не надо.
Есть ощущение что все эти пароли это просто технологии прошлого. Потихоньку отказываться бы от этого.
В пользу чего? Отп?
OpenPGP как-то приспособить в виде ключа-доступа ко всему?
Ну что нибудь, вроде много всего напридумывали. В идеале чтобы я свой браузер как-то авторизовал - пусть даже каким нибудь паролем который дома на листочке записан. А дальше он от моего имени автоматически обменивался там ключами, и прочее... Что-то в таком духе.
Вот вам забавный факт. Использую FreeOTP. Через QR код очень легко туда добавляются сервисы. Но есть один ресвис QR код которого не распознается - это VK ID. Как они умудрились или специально так сделали я хз.
Это известная проблема.Есть позорные сайты, которые обнаруживают что им в DOM отрисовался интерфейс адблока, и скрипт удаляет всё содержимое оставляя пустую страничку
Поскольку такое поведение выгодно большому брату и не выгодно конечному пользователю, то конечно же оно будет сохранено во всех версиях браузера
Недавно обновлял страницу справки Firefox про механизм борьбы с кликджекингом:
https://support.mozilla.org/ru/kb/stranica-xframe-neterror?r...-
Понятно, что используется не только эта техника, но в принципе, по крайней мере, в этом браузере о проблеме знают и со своей стороны тоже что-то делают.
Браузерные хтмл хранители паролей? Что же могло пойти не так :)
Ох уж эти эксперты по безопасности
Просто удаляем из записи пароля в Properties ключ KeePassXC-Browser Settings
И все keepassxc будет каждый раз спрашивать у вас подтверждение к этому паролю из СВОЕГО интерфейса и вся атака сходит на нет
Не верите?
вот код confirmEntries(entriesToConfirm, entryParameters, siteHost, formHost, entryParameters.httpAuth);
https://github.com/keepassxreboot/keepassxc/blob/41da5b2127f...
https://github.com/keepassxreboot/keepassxc/blob/41da5b2127f...
> Shadow DOM в режиме "closed"Разработчики расширений для менеджмента паролей не сделали этого сразу? Это говорит об их компетентности.
Никогда не пользовался. Надёжнее держать алгоритм "генерации" паролей в голове. Он нечеткий, но со второго-третьего раза всегда угадаю, какой пароль я поставил на каком домене.
> Разработчики расширений для менеджмента паролей не сделали этого сразу? Это говорит об их компетентности.Так ведь о пользователях некробраузеров заботятся, у которых shadow dom нет!
