Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 31
уже было, даже скрипт народ написал www.computerra.ru/gid/rtfm/browser/357591/ для других браузеров www.securitylab.ru/analytics/293884.php см пункт 4.1.1
Все это с успехом делают трояны. :-)
Глупо хранить пароли в примитивных браузерных менеджерах. ИМХО!
Глупо хранить пароли в примитивных браузерных менеджерах. ИМХО!
А какие альтернативы есть?
KeePass, например.
Пардон, линк не вставился.
кейлоггера на вас нет… :)
подслушали один единственный пароль, слили базу от password-менеджера, и наслаждаемся :) но, конечно, это будет посложнее, чем автоматический слив троянами парольных контейнеров от популярного софта
подслушали один единственный пароль, слили базу от password-менеджера, и наслаждаемся :) но, конечно, это будет посложнее, чем автоматический слив троянами парольных контейнеров от популярного софта
дык есть и от кейлоггеров защита ж…
spbsoftwarehouse.com/uploads/images/wallet/screenshots/desktop/smaller_400.png +рандомный порядок цифр…
Если, как написано в заметке, на минутку отойти от включенного компьютера, то ваши пароли уже окажутся скомпрометированными. Независимо, от всяких там Wand'ов.
Одно дело зайти под чьим-то именем на сайт, либо стырить кукизы, а другое — получить пароль в открытом виде.
Если кто-то имеет физический доступ к вашему компу — он имеет доступ ко всей незащищенной информации. Пароли в Опере не исключение.
Если ваша паранойя смотрит сквозь пальцы на то, что вы сохраняете в Опере пароли, и на то, что вы не лочите компьютер, когда отходите, то непонятно, почему её беспокоит возможность узнать ваши «оперные пароли» сидя за вашим компом.
Если ваша паранойя смотрит сквозь пальцы на то, что вы сохраняете в Опере пароли, и на то, что вы не лочите компьютер, когда отходите, то непонятно, почему её беспокоит возможность узнать ваши «оперные пароли» сидя за вашим компом.
Храните пароли в мозгу в зашифрованном виде :-)
А вообще лучше keePass чем менеджер паролей Оперы.
А вообще лучше keePass чем менеджер паролей Оперы.
Блокируйте экран отходя от компа… Тем более на работе… Такие сейчас времена, ни кому нельзя доверять. Могут просто удалить важнуй для работы файл, пока тебя нет, а ты можешь лешиться работы или премии из-за этого =( Вот жизнь, а…
Зачем так извращаться? Есть же софт для открытия содержимого ванда. Очень полезно, кстати, я так «вспомнил» пароль от какого-то давно забытого сайта…
Разработчики Opera могли бы в следующих версиях подкорректировать работу Wand, а именно, при сохранении данных, запоминать, какое из полей было паролем. Даже если потом поле «почему-то» перестало быть паролем, всё равно выводить звёздочки.Ради чего? Ради того, чтобы перестал работать ваш способ? А я возьму в адресную строку вобью что-нибудь вроде этого?
javascript:alert(document.getElementById("passwordInputId").value);В любом случае — пароль в Опере есть, а значит, как ни крути, сидящий за компом пользователь может добраться до пароля.
Ну можно исходник страницы оставлять таким же, а на сервер передавать пароль уже с запросом.
Однако, если стоит js-проверка на заполненность пароля — она ругнётся. Или если пароль на сервер отсылается js'ом.
Но можно js-скриптам пароль таки давать.
Однако, тогда можно запустить js-код из адресной строки.
Но ему можно запретить менять тип инпута с password'а и иметь доступ к значению такого инпута. И к кукисам до кучи. Опционально.
Однако, остаётся ещё один способ, который я успешно использовал для слива контента, динамически генерящегося/расшифровывающегося на стороне клиента, с одного сайта:
Можно заменить в документа innerHtml на форму с текстарией, в которую запихать старое содержимое страницы, а самой форме прописать экшн на свой домен, и нажать сабмит. Скрипт подключал user js'ом. Вот от этого как защититься, не очень понятно.
Хотя… Можно сделать менеджер user js'ов а ля grasemonkey, доступ к которому выдавать по мастер-паролю.
Однако, если стоит js-проверка на заполненность пароля — она ругнётся. Или если пароль на сервер отсылается js'ом.
Но можно js-скриптам пароль таки давать.
Однако, тогда можно запустить js-код из адресной строки.
Но ему можно запретить менять тип инпута с password'а и иметь доступ к значению такого инпута. И к кукисам до кучи. Опционально.
Однако, остаётся ещё один способ, который я успешно использовал для слива контента, динамически генерящегося/расшифровывающегося на стороне клиента, с одного сайта:
Можно заменить в документа innerHtml на форму с текстарией, в которую запихать старое содержимое страницы, а самой форме прописать экшн на свой домен, и нажать сабмит. Скрипт подключал user js'ом. Вот от этого как защититься, не очень понятно.
Хотя… Можно сделать менеджер user js'ов а ля grasemonkey, доступ к которому выдавать по мастер-паролю.
начиная не помню с какой версии оперы была утилитка, которая работает и сейчас, называется Unwand
используйте Win+L для вин-систем и блокируйте экран в никс-дистрибутивах. Во всяком случае на работе я так делаю всегда. Ибо комп сисадмина открытым оставить и уйти на перекур — может дорого обойтись :) Хотя в моем случае это параноя — я просто эникей :)
Не хватает только хоткея для wand — Ctrl+Enter
Все важные пароли, как то к сервакам, асе, скайпу и просто к часто посещаемым сайтам, кроме разных маловажных форумов, давно храню в уме. К этому сначала подтолкнули сначала подобные размышления, а финальным ударом локомотива послужил вынос компов для анализа Службой Безопасности Украины. Сложно было запоминать новые пароли вместо всех «заванденых».
Все важные пароли, как то к сервакам, асе, скайпу и просто к часто посещаемым сайтам, кроме разных маловажных форумов, давно храню в уме. К этому сначала подтолкнули сначала подобные размышления, а финальным ударом локомотива послужил вынос компов для анализа Службой Безопасности Украины. Сложно было запоминать новые пароли вместо всех «заванденых».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Вспомнить» пароль в Opera за 10 секунд, если он сохранён в Wand