IE позволяет отслеживать координаты мыши (даже в другом окне)

[poorum]

Не, тогда тут другой баг — на втором мониторе не работает :)

[VaKonS]

Adobe уже внедрял, и не только для IE. :)
Сейчас уже почти во всех браузерах исправили.

[ThePR]

Отличная новость для форм ввода CVV кода в интернет банкингах. Особенно учитывая любовь многих разработчиков подобных систем к ActiveX и соответственно IE.

[xy4]

Что из этого: «altKey, altLeft, clientX, clientY, ctrlKey, ctrlLeft, offsetX, offsetY, screenX, screenY, shiftKey, shiftLeft, x и y» даст перехватить ввод символов?

[Irker]

«путь курсора» с наложением на раскладку экранной клавиатуры? Хотя в вероятность появления реализаций данного эксплойда для данных целей я тоже сомневаюсь.

[ThePR]

Часто для ввода CVV/CVC кода используется экранная клавиатура и вводить его нужно мышкой. Насколько я понимаю логику подобной реализации — это сделано специально чтобы невозможно было перехватить нажатия клавиш. Часто цифры на экранной цифровой клавиатуре выводятся не в случайном порядке, а в постоянной раскладке. В таком случае реально по пути курсора узнать вводимый код.

[senia]

Экранная клавиатура в случайном порядке. Я наивно полагал, что все инквизиторы ушли в разработку капч.

[fader44]

Чтобы было совсем безопасно, надо еще и перемешивать знаки на клавиатуре после каждого нажатия.

[Vokabre]

[aruseni]

Это уровень Easy. А вот для Moderate нужно сделать, чтобы виртуальные клавиши всё время перемещались, как бы «летая» по странице — а курсор будет их догонять. :)

[suslovas]

В mmorpg Requiem для каждого персонажа был четырехзначный цифровой код, который надо было вводить с экранной клавиатуры. Вот там все кнопки располагаись в случайном порядке и перемешивались после каждого нажатия.

[ThePR]

Мне кажется логика создателей такого решения может в качестве оправдания использовать тот факт, что набор клавиш ограничен только цифрами, а ввести нужно всего лишь 3 из них.

[aruseni]

Альфа-Банк для ввода пароля отображает виртуальную клавиатуру (которая отображается в случайном месте страницы и может даже перекрывать саму форму входа, но которую, впрочем, можно закрыть).

[vvzvlad]

А для ввода CVC он отображает статичную цифровую в одном и том же месте.

[outcoldman]

Помню один банк в России, который как-то выдал мне экранную клавиатуру для ввода пароля. Мега удар по usability и мнимая защита (даже посветил этому топик http://outcoldman.com/ru/blog/show/207).

[zavg]

А случайно не знаете, почему разработчики банковских интернет-клиентов так любят ActiveX и IE? Меня всегда это интересовало)

[ThePR]

Точных причин я не знаю, но в качестве теории могу предположить что это была одна из первых подходящих технологий, достаточно массовых и в то же время относительно безопасных для внедрения в интернет-банкингах. А далее на это наложился общий консерватизм данной сферы.

[moscow_beast]

Да, интеграция в систему на высоте.

[serf]

Этакая анти-песочница :)

[bolk]

Никакой другой баг так не обсуждают, как баг в IE! :) Пофигу, что ФФ и Хром постоянно затыкают дырки, но они няши, а IE — решето! :-D

[ssneg]

Как только клиенты начнут ставить требования «Это должно работать в версии Хрома, выпущенной 8 лет назад, потому что у нас на предприятии только её разрешил отдел безопасности», все начнут клясть Хром на чем свет стоит.

[Mairon]

затыкают дырки

Ключевые слова

[bolk]

А MS не затыкает что ли? Или вы хотите сказать, что про этот баг знали, но не исправили?

[Mairon]

У MS странная политика вообще. Например, тот же IE9 не был выпущен на XP, потому что в MS поставили свистелко-перделки перед безопасностью. Мол, аппаратное ускорение, так, как хотим мы, не работает, поэтому выпускать не будем, а выпустить браузер без аппаратного ускорения им, видимо, религия не позволила. То же самое сейчас с IE10 и Vista, хотя какие там мотивы — непонятно.
То есть, формально, дырки вроде как затыкают, но крутые фишки типа новомодного SmartScreen c TPL выпускать не хотят.

[equand]

Довольно давно знают и не исправляют, насколько я помню из статьи на реддите.

[Regis]

Ладно, согласен, IE sucks less…

[eydemidov]

Именно. Защищая IE, стоит помнить — ругают и негативно относятся, по большему счёту, совсем не к IE10, и в общем-то даже и не особо к IE9. Все эти плевки в IE из-за его legacy, которое висит тяжёлым грузом и до сих пор никак не сдохнет (да, да, я знаю, что когда-то IE был впереди планеты всей а остальные браузеры ему завидовали, что в нём уже тогда было то, что сейчас только входит в стандарт CSS но речь не об этом).

Думаю, если бы MS сделало ребрендинг новому браузеру, никто бы особо его не ругал за фейлы предков, но что есь, то есть.

[VaKonS]

А в FireFox'е вот уже какую версию подряд — год, а то и больше — всё никак не уберут «фичу», из-за которой флэш может отслеживать нажатия всех или почти всех клавиш на соседних вкладках этого же окна.
В других браузерах уже убрали (проверял около полугода назад).

Пример: пианино «Zebra Keys» в сообщении #8. Оно играет и на своей вкладке и на всех остальных в этом же окне.

Так что лучше вводите пароли в отдельном окне без дополнительных вкладок.

[VaKonS]

Существенное уточнение: в Firefox под Windows.

[amc]

Я бы ещё добавил, что со включенным порно- приватным-режимом.
С обычным браузингом это не всегда возможно, но для клиент-банков, иногда почты (на чужих ПК — всегда) я этим пользуюсь.

[mihmig]

мда, LiveCD с кошерным дистрибутивом *nix для банкинга уже не катит — банкуют нынче с планшетиков и ультрабуков…
Ну да ладно — конкуренция заставляет банков писать/покупать решения, работающие не только на осле.
В принципе не всё так плохо — SMS -подтверждения на отдельную симку позволяют спокойно банковать.