Pull to refresh

Comments 15

Ну, это же несколько искусственный пример, не? Чтобы оно сработало, надо чтобы сошлись следующие звезды:
1. На сайте, от которого нужен пароль, должна быть уязвимая страница.
2. На этой странице должна быть форма, в которую мало того, что можно подставить параметры из УРЛа из Get запроса, так еще и чтобы оно всё выводилось без экранирования.
3. У пользователя должен быть сохранен пароль от этого сайта в браузере.

Ну, т.е. очень маловероятный сценарий ))

ну не то чтобы очень малая вероятность)
вполне рабочий пример, да главным условием должно быть наличие уязвимости XSS,

а насчет сохранения паролей в браузере, практика показывает, что так делают почти все

Да легко, ссылка в письме не отличимом от настоящего, с вашими персональными данными и правильным доменном, не вызовет никаких опасений, например, "Геннадий Букин, напоминаем, что срок оплаты страховых взносов,... вы можете легко оплатить онлайн, ваш Банк". В эпоху "слили очередную базу" это рядовой случай. А дальше, очередной скомпрометированный .js счётчика, идентификатора, сколько их таких используется, и на СБЕР, ВТБ, Госуслугах.. ну а пароли как верно подметили, "так делают почти все.

Блин, ещё одна фобия.

У нас на работе весёлые админы постоянно рассылают письма от имени компании, имитирующие фишинговые, выглядящие как настоящие, но с хитрыми ссылками, количество кликов по которым они же и отслеживают. Ну типа смените пароль, проверьте данные профиля и т.д. Раз в квартал такая учебная тревога прилетает, и народ вроде научился не щёлкать куда попало, а помечать их как фишинговые.

Говорят сотовые провайдеры в РФ легко вставляют в html свой код

И не только в РФ. Однако, с https это не работает.

MIM, и какой-нить админ внутри компании может стырить данные карточек сотрудников.

А если кнопку ОК сделать прозрачной для кликов (pointer-events: none), и подставить над вашей кнопкой?

кстати да, сработает) тогда в случае кипасса отстаётся только надеяться, что база не разблокирована в текущий момент

поясните правильно ли я понял:
1. пользователь зашел на "неблагонадежный" сайт
2. вылезло какоето окно с кнопкой ОК, которое на самом деле содержит форму ввода логина и пароля, например от сайта какого либо почтовика, а браузер любезно подставил туда логин и пароль
3. при нажатии на ОК именно эти логин и пароль утекают ?

логин-пароль будет от того сайта, на котором уязвимость

ага, но это не обязательно будет "неблагонадёжный" сайт, уязвимость может быть на любом сайте

хм, надо будет попробовать еще раз менеджер паролей - на первой попытке keepassx мне не понравился в удобстве, например для гугла не работал

Sign up to leave a comment.