Comments 17
Этой атаке сто лет в обед.
Таким образом часто крадут пароли в случае наличия активных xss. Динамически добавляют форму ввода логин-пароль аналогичной той что используется на сайте, куда в случае, если пользователь нажимал кнопку при авторизации сохранить пароль, браузер заботливо кладет логин-пароль в открытом виде. Который легко передается в логи злоумышленнику.
Таким образом часто крадут пароли в случае наличия активных xss. Динамически добавляют форму ввода логин-пароль аналогичной той что используется на сайте, куда в случае, если пользователь нажимал кнопку при авторизации сохранить пароль, браузер заботливо кладет логин-пароль в открытом виде. Который легко передается в логи злоумышленнику.
UFO just landed and posted this here
сам имел привычку вбивать поиск в поле поиска, а не в адресной строки, но в последнее время сломался, т.к визуально они стали вести себя как одно и то же, во всякм случае, в Хроме без изменения дефолтных настроек в этом вопросе (если они вообще есть).
между этим полями фактическое различие еще какое-то есть?
между этим полями фактическое различие еще какое-то есть?
История показывает, что при выборе между удобством и безопасностью большинство пользователей часто выбирают удобство.
незамедлительно напомнило
Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности
только, что забавно, с заменами «удобство» (в посте) на «безопасность» (у Франклина) и «безопасность» на «свободу».
несмотря на кажущуюся смысловую противоречивость, замена естественна по контексту противопоставления.
«Не Волгу, а Запорожец, не в Спортлото, а в карты, и не выиграл, а проиграл.» А так все верно.
ваш сарказм ясен, жаль, что неясна оказалась моя мысль, что дало повод для (неуместного, как я думаю) сарказма.
Вы как-то предпочли докопаться до буквального прочтения, пренебрегая общей формой достаточно общего утверждения. Не учтя, что понятие «безопасность» может играть, в самом деле, противоположные роли.
Общая форма: если ради сиюминутного интереса пренебрегать основополагающим принципом, на котором, в частности, зиждется и обеспечение сиюминутного интереса, то успеха не достичь ни в том, ни в другом.
У Франклина безопасность имеется в виду в том смысле, в каком буква «Б» входит в аббревиатуры КГБ и ФСБ, и поэтому она противопоставляется свободе, базовой личностной ценности. Эту мысль надо развернуть?
В современном интернете, напротив, свобода и безопасность по одну сторону разграничения добра и зла, потому как и то, и другое есть базовая личностная ценность. А вот комфорт пользователя, обеспечение которого разработчиками относится к этим понятиям так же, как обеспечение государством безопасности граждан относится к их личной свободе, оказывается как раз тем сиюминутным интересом, в погоне за которым можно лишиться и его, и безопасности.
Разумеется, вовсе не следует считать, что IT-безопасное обязательно должно быть неудобным (точно так же, как безопасное общество не обязательно должно быть тоталитарным), просто не надо забывать об иерархии ценностей.
Вы как-то предпочли докопаться до буквального прочтения, пренебрегая общей формой достаточно общего утверждения. Не учтя, что понятие «безопасность» может играть, в самом деле, противоположные роли.
Общая форма: если ради сиюминутного интереса пренебрегать основополагающим принципом, на котором, в частности, зиждется и обеспечение сиюминутного интереса, то успеха не достичь ни в том, ни в другом.
У Франклина безопасность имеется в виду в том смысле, в каком буква «Б» входит в аббревиатуры КГБ и ФСБ, и поэтому она противопоставляется свободе, базовой личностной ценности. Эту мысль надо развернуть?
В современном интернете, напротив, свобода и безопасность по одну сторону разграничения добра и зла, потому как и то, и другое есть базовая личностная ценность. А вот комфорт пользователя, обеспечение которого разработчиками относится к этим понятиям так же, как обеспечение государством безопасности граждан относится к их личной свободе, оказывается как раз тем сиюминутным интересом, в погоне за которым можно лишиться и его, и безопасности.
Разумеется, вовсе не следует считать, что IT-безопасное обязательно должно быть неудобным (точно так же, как безопасное общество не обязательно должно быть тоталитарным), просто не надо забывать об иерархии ценностей.
Вы как то очень странно расставляете ценности. Для вас государственная безопасность в виде КГБ и ФСБ стоит по ту сторону добра. (замечу еще раз это только у вас такое виденье добра и зла) Интересно а Интерпол, FBI, ANB, Массад, ЦРУ, туда то же входят или кому как повезло в ваших ценностях. Кто то да а кто то все еще с нами по эту сторону забора?
Конечно то что добро и зло, это очень субъективные критерии вы наверное знаете, но да ладно не о том сейчас.
Хочу вам сказать, что человечество всю свою историю всегда развивалось в пользу удобства. (кстати мне допустим идея ФаирФокс где надо нажимать на каждую строку что бы автозаполнить ее, больше кажется удобной)
Именно удобство пользования является тем критерием который определяет ход развития. Не безопасность, не экономичность, не эффектность. А именно удобство. Конечно если вы возьмете историю с фордом и его моделью Т, которая возможно не была самой удобной. Но это к такому роду выбора не относится, так как он сделал самый удобный способ производить машины. Как для себя, так и для своих рабочих, которые стали зарабатывать в разы больше своих коллег. И если брать все остальные аналоговые моменты развития, то всегда в преимущество люди ставят удобство при прочих более менее равных условиях.
Конечно то что добро и зло, это очень субъективные критерии вы наверное знаете, но да ладно не о том сейчас.
Хочу вам сказать, что человечество всю свою историю всегда развивалось в пользу удобства. (кстати мне допустим идея ФаирФокс где надо нажимать на каждую строку что бы автозаполнить ее, больше кажется удобной)
Именно удобство пользования является тем критерием который определяет ход развития. Не безопасность, не экономичность, не эффектность. А именно удобство. Конечно если вы возьмете историю с фордом и его моделью Т, которая возможно не была самой удобной. Но это к такому роду выбора не относится, так как он сделал самый удобный способ производить машины. Как для себя, так и для своих рабочих, которые стали зарабатывать в разы больше своих коллег. И если брать все остальные аналоговые моменты развития, то всегда в преимущество люди ставят удобство при прочих более менее равных условиях.
Какая-то каша из предложений, а не текст.
А про FIPS не слышали?.. явно — нет)))… кто-то лез на какатус, кололся, но все одно лез)))
А можно подробнее и по-русски про ошибку в яндекс.браузере?
https://www.netsparker.com/blog/web-security/csrf-vulnerability-yandex-browser/
При помощи CSRF можно было засабмитить форму на https://browser.yandex.com.tr/sync/, залогинившись там аккаунтом атакующего. После этого браузер автоматически начинал синхронизироваться с этим аккаунтом: запомненные пароли, закладки и т. д.
Хроника:
- 17 декабря 2015: уязвимость заявлена через программу Yandex Bug Bounty
- 15th January 2016: Реакции от Яндекса по-прежнему не наблюдалось, вышли напрямую на контакт с одним из инженеров Яндекса через твиттер. Оказалось, что при репорте был автоматически создан аккаунт в почте Яндекса, и в этом аккаунте лежало письмо от 22 декабря 2015, в котором инженер Яндекса отвечал, что не смог воспроизвести проблему
- 8 февраля 2016: послали Proof-of-Concept видео
- 15 февраля 2016: продолжаются попытки связаться с Яндексом
- 2 марта 2016: Яндекс ответил, что проблема подтвержилась и они над ней работают
- 7 марта 2016: пробовали связаться и уточнить статус проблемы
- 16 марта 2016: пробовали связаться и уточнить статус проблемы
- 29 марта 2016: пробовали связаться и уточнить статус проблемы
- 12 апреля 2016: Яндекс ответил, что они всё ещё работают над проблемой
- К середине мая заметили, что проблема исправлена, хотя Яндекс так и не связался с авторами
Кастую в комментарии bobuk или ещё кого-нибудь из Яндекса
Пожалуй, тут объясняться буду я (как автор постов про Браузер на Хабре). Мы запустили открытую программу Bug Bounty на рубеже 2015 и 2016 гг. Процессы были еще не отлажены, поэтому случился очень неприятный технический баг, и данный репорт просто оказался вне поля зрения ответственных. Деньги в итоге выплатили. Стыдно, конечно, из-за такого, но мы сделали выводы. В этом году даже вступили в программу CVE (это единственный местный продукт, который там участвует): https://xakep.ru/2016/11/01/yandex-cve/
Какой невероятно актуальный пост. Про что дальше расскажете, про XSS и клоны сайтов с похожими адресами?
Sign up to leave a comment.
Фишинг через автозаполнение в Chrome (демо)