Комментарии 14
В чем отличие от запоминания паролей браузером?
Хром хранит пароли открытым текстом и много всякой дряни заточено именно на это.
Хром криптует хранилище ключей мастер-паролем.
Хром сохраняет пароли в базе данных SQLite. Все поля БД открыты, кроме поля паролей.
Это поле (в Windows) зашифровано DPAPI.
Если не вникать в схему работы DPAPI — он шифрует неким «секретом» конкретного пользователя, который система может считать только тогда, когда за данного пользователя будет произведен вход.
То есть читать пароли другого пользователя системы не получится.
Чтобы выдрать из хрома пароли — нужно подсунуть жертве приложение, которое откроет БД и расшифрует пароли. Сделано это должно быть, соответственно, под пользователем, пароли которого уводятся.
Это поле (в Windows) зашифровано DPAPI.
Если не вникать в схему работы DPAPI — он шифрует неким «секретом» конкретного пользователя, который система может считать только тогда, когда за данного пользователя будет произведен вход.
То есть читать пароли другого пользователя системы не получится.
Чтобы выдрать из хрома пароли — нужно подсунуть жертве приложение, которое откроет БД и расшифрует пароли. Сделано это должно быть, соответственно, под пользователем, пароли которого уводятся.
Если к компьютеру есть доступ у 3-х лиц, то сохраненные пароли можно просматривать из хрома. Не знаю, как с этим в плагине, но, учитывая последние абзацы, всё путём должно быть
Одна запись на аккаунт, не надо хранить и менять дубликаты на разных url, + не надо нажимать кнопку Войти, Видеть форму входа и надобность писать логин пароль пропадает совсем. На фишинговых сайтах она всплывает и является явным признаком что, что то неправильно.
всего 2 файла — manifest.json и contetnt.js
Судя по всему, вы глубоко прониклись идеей фишинга, давая такие названия.
хм. А чем не подходят готовые решения?
тот же LastPass — вроде удовлетворяет всем вашим хотелкам, и пожеланиям на будущее.
Если «тогда его еще небыло» — ранее был «RoboForm» (и вроде до сих пор есть)
тот же LastPass — вроде удовлетворяет всем вашим хотелкам, и пожеланиям на будущее.
Если «тогда его еще небыло» — ранее был «RoboForm» (и вроде до сих пор есть)
«A chto s mozillkoj-to? S mozillkoj-to kak?» (Перефраз из топика про проститутку и холодильник).
Вам передает привет KeePass.
При помощи плагинов он умеет:
— синхронизироваться через облака
— определять логины/пароли для сайтов
— кросплатформенность (Windows/Linux/Android)
— кучу чего еще
При помощи плагинов он умеет:
— синхронизироваться через облака
— определять логины/пароли для сайтов
— кросплатформенность (Windows/Linux/Android)
— кучу чего еще
Молодец! Только надо было залить на Chrome Web Store (регистрация все таки дешевле чем на Плэймаркете).
Оффтоп:
Я тоже как то писал для себя прогу для винды, сохраняющую пароли в зашифрованной базе sqllite, но пользоваться из-за отсутствия синхронизации не очень удобно (планировал что хранить буду пароли на карте памяти). Тут может быть такая же проблема.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я защищался от фишинга, и написал велосипед, но свой собственный