"Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг" | +/– |  |
| Сообщение от opennews (??), 24-Авг-25, 11:34 | ||
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по времени | RSS] |
| 1. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +7 +/– | |
| Сообщение от Аноним (1), 24-Авг-25, 11:34 | ||
Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 3. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (3), 24-Авг-25, 11:40 | ||
Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –5 +/– | |
| Сообщение от Витюшка (?), 24-Авг-25, 11:59 | ||
Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак". | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 17. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– | |
| Сообщение от Аноним (17), 24-Авг-25, 13:37 | ||
Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 16. Скрыто модератором | –1 +/– | |
| Сообщение от Аноним (16), 24-Авг-25, 13:13 | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 26. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– | |
| Сообщение от Аноним (26), 24-Авг-25, 14:44 | ||
> Хорошо, что под Вяленым Кипасс не умеет автотайпить. | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| 2. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +18 +/– | |
| Сообщение от Аноним (2), 24-Авг-25, 11:39 | ||
Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 10. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +2 +/– | |
| Сообщение от Аноним (10), 24-Авг-25, 12:27 | ||
На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 18. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +4 +/– | |
| Сообщение от Аноним (17), 24-Авг-25, 13:39 | ||
Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 4. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (4), 24-Авг-25, 11:43 | ||
И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 11. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (10), 24-Авг-25, 12:30 | ||
Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click"). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 5. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от MxZS (?), 24-Авг-25, 11:59 | ||
Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 9. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним9000 (?), 24-Авг-25, 12:13 | ||
Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 58. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от MxZS (?), 25-Авг-25, 00:22 | ||
Т.е. если "битварден" оказался спайварем, то остальные тоже по умолчанию такие же? Если в Андроид есть ошибка или закладка, то она автоматом появляется в АйОС? И до куче в винде, линухе и т.п.? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 25. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– |  |
| Сообщение от 12yoexpert (ok), 24-Авг-25, 14:42 | ||
ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 57. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от MxZS (?), 25-Авг-25, 00:17 | ||
Какие деньги? Он бесплатный и ставится локально. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 12. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от 0xdeadbee (-), 24-Авг-25, 12:31 | ||
менетжер паролей pass безопасен ! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 28. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– | |
| Сообщение от 12yoexpert (ok), 24-Авг-25, 14:48 | ||
фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 38. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (38), 24-Авг-25, 16:36 | ||
У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 43. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (43), 24-Авг-25, 18:13 | ||
Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 44. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– | |
| Сообщение от 12yoexpert (ok), 24-Авг-25, 18:27 | ||
рабское мышление, не о чем разговаривать | ||
| Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору | ||
| ||
| 45. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (45), 24-Авг-25, 18:34 | ||
У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали. | ||
| Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору | ||
| ||
| 47. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (38), 24-Авг-25, 19:12 | ||
> если уж и дают работать из дома, то выдают преднастроенное железо с зондами | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 48. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (48), 24-Авг-25, 19:43 | ||
Так запускай несколько X-серверов на разных tty и не жалуйся. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 50. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (38), 24-Авг-25, 20:10 | ||
Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 30. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от щука улетела лебедь утонул (?), 24-Авг-25, 15:05 | ||
Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит. | ||
| Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору | ||
| 15. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от Аноним (15), 24-Авг-25, 12:56 | ||
Всегда вручную копирую пароли. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 19. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от Аноним (19), 24-Авг-25, 13:45 | ||
Зловред: | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 36. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (36), 24-Авг-25, 16:21 | ||
Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 20. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (19), 24-Авг-25, 13:47 | ||
Все переходим на passkey, нечему будет утекать | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 22. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Голдер и Рита (?), 24-Авг-25, 14:03 | ||
Detecting Compromise of Passkey Storage on the Cloud | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 23. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +2 +/– |  |
| Сообщение от YetAnotherOnanym (ok), 24-Авг-25, 14:10 | ||
> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницы | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 24. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | –1 +/– | |
| Сообщение от Аноним (24), 24-Авг-25, 14:29 | ||
Никогда не пользовался именно браузерными хранилками паролей, потому что сама идея хранить пароли в приложении, через которое тебя в первую очередь будут ломать кажется тупой изначально. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 27. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от Аноним (27), 24-Авг-25, 14:46 | ||
Во времена XUL таких проблем не было. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 29. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от глаза втекли обратно (?), 24-Авг-25, 15:01 | ||
Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как они этого добились? Там же Линукс! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 31. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (26), 24-Авг-25, 15:26 | ||
> Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 34. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от снова вытекли (?), 24-Авг-25, 16:08 | ||
Да я только первые секунды. Тьфу ты! Так и знал, что засада. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 46. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (46), 24-Авг-25, 19:05 | ||
В Хроме на венде были самые паршивые шрифты. Да и в Еже старом тоже, новый патчат специальными патчами, чтобы было нормально, в отличие от Хрома. Вот интерфейсный Segoe выглядит идеально, в линуксе только растровые шрифты приближаются к такому уровню, а всё остальное вырвиглаз хуже линукса. | ||
| Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору | ||
| 35. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (35), 24-Авг-25, 16:09 | ||
Почему при вставке пароля окно подтверждения не вызвать через window.open? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 37. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (36), 24-Авг-25, 16:25 | ||
Хороший вопрос. Почему не делают это в отдельном окне, с возможностью ткнуть по "показать подробнее" с указанием на то, в какой элемент предлагается вставка? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 39. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– |  |
Сообщение от Ценитель GPL рогаликов (?), 24-Авг-25, 16:52 | ||
> Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 40. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Аноним (40), 24-Авг-25, 17:41 | ||
Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность. Р.S. Сейчас в комментарии прибегут "мамкины безопасники" с криками "бумага, это небезопасно!!!". | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 56. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Ценитель GPL рогаликов (?), 25-Авг-25, 00:01 | ||
> Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 41. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Любитель идиотов (?), 24-Авг-25, 17:46 | ||
20-30... 100-200 паролей из.. Тролль! | ||
| Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору | ||
| ||
| 55. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от Ценитель GPL рогаликов (?), 24-Авг-25, 23:40 | ||
> 20-30... 100-200 паролей из.. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 42. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +1 +/– | |
| Сообщение от Аноним (42), 24-Авг-25, 17:59 | ||
> Создание навязчивого элемента на странице, стимулирующего совершение клика. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 49. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– | |
| Сообщение от DasKolbass (?), 24-Авг-25, 19:46 | ||
NoScript | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 52. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– |  |
| Сообщение от cheburnator9000 (ok), 24-Авг-25, 20:57 | ||
Не зря я никогда не использовал эти интеграции в браузеры. Как в воду глядел. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 53. Скрыто модератором | +/– | |
| Сообщение от Аноним (53), 24-Авг-25, 23:14 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 54. "Атака на браузерные дополнения с менеджерами паролей, исполь..." | +/– |  |
| Сообщение от rshadow (ok), 24-Авг-25, 23:21 | ||
Суммаризирую. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
