«Даже если вы нажмете на какую-то ссылку и введете логин и пароль то ничего такого не случится» — реклама браузера Яндекс. Как это работает и так ли это? Посмотрев эту рекламу мне конечно стало интересно, как Яндекс смог «победить» такую сложно решаемую проблему как кража паролей. Хочу отметить, что рассматривал я только одну из функций Яндекс Protect, а именно "Защита от кражи паролей".
Если совсем коротко, то принцип действия механизма защиты от кражи паролей в Яндекс браузере сводится к проверки значения поля input type=«password» перед отправкой формы на сервер. В этот момент значения этого поля сравнивается со значением сохраненных в браузере паролей(по информации от Яндекс сравниваются хэши паролей). При обнаружении совпадений выводится предупреждение пользователю. Идея в общем понятная, однако эффективность данного метода вызывает сомнения.
Во-первых
Такой метод точно не остановит создателей фишинговых сайтов, а просто заставит немного модернизировать код на страничке. Вариантов может быть много. Например, использовать другой input type — проверяется только type=password, поставить обработчик событий на поле ввода, читать содержимое скриптом и отправлять значения на сервер в фоне и еще можно придумать не мало подобного. В качестве эксперимента, я модернизировал поле input type=«password» по известному мне алгоритму перед отправкой, а на сервере восстанавливал его.
Во-вторых
Реализованный в Яндекс браузере метод открывает еще одну «дверцу» для злоумышленников. В силу того, что для работы данного механизма защиты, браузер сравнивает набранный пароль с сохраненными в браузере у злоумышленников появляется возможность реализовать перебор паролей в фоновом режиме просто разместив на сайте специально подготовленный скрипт. Такой скрипт должен поочередно заполнять скрытое от пользователя поле input type=«password» паролями из словаря и эмулировать отправку формы на сервер в ожидании срабатывания защиты. Срабатывание защиты и будет являться индикатором того, что пароль верный. Способ имеет ряд недостатков — для перебора большого количества паролей пользователь должен долго находится на зловредном сайте; неизвестно от какого ресурса подобранный пароль; у пользователя внезапно выскакивает окно с предупреждением, которое может его насторожить. Однако, все равно неприятная особенность.
Ну и в-третьих
На мой взгляд самая неприятна часть. Подобная реклама прививает пользователям чувство ложной защищенности, что по сути снижает уровень безопасности этих самых пользователей Яндекс браузера.
Если совсем коротко, то принцип действия механизма защиты от кражи паролей в Яндекс браузере сводится к проверки значения поля input type=«password» перед отправкой формы на сервер. В этот момент значения этого поля сравнивается со значением сохраненных в браузере паролей(по информации от Яндекс сравниваются хэши паролей). При обнаружении совпадений выводится предупреждение пользователю. Идея в общем понятная, однако эффективность данного метода вызывает сомнения.
Во-первых
Такой метод точно не остановит создателей фишинговых сайтов, а просто заставит немного модернизировать код на страничке. Вариантов может быть много. Например, использовать другой input type — проверяется только type=password, поставить обработчик событий на поле ввода, читать содержимое скриптом и отправлять значения на сервер в фоне и еще можно придумать не мало подобного. В качестве эксперимента, я модернизировал поле input type=«password» по известному мне алгоритму перед отправкой, а на сервере восстанавливал его.
Во-вторых
Реализованный в Яндекс браузере метод открывает еще одну «дверцу» для злоумышленников. В силу того, что для работы данного механизма защиты, браузер сравнивает набранный пароль с сохраненными в браузере у злоумышленников появляется возможность реализовать перебор паролей в фоновом режиме просто разместив на сайте специально подготовленный скрипт. Такой скрипт должен поочередно заполнять скрытое от пользователя поле input type=«password» паролями из словаря и эмулировать отправку формы на сервер в ожидании срабатывания защиты. Срабатывание защиты и будет являться индикатором того, что пароль верный. Способ имеет ряд недостатков — для перебора большого количества паролей пользователь должен долго находится на зловредном сайте; неизвестно от какого ресурса подобранный пароль; у пользователя внезапно выскакивает окно с предупреждением, которое может его насторожить. Однако, все равно неприятная особенность.
Ну и в-третьих
На мой взгляд самая неприятна часть. Подобная реклама прививает пользователям чувство ложной защищенности, что по сути снижает уровень безопасности этих самых пользователей Яндекс браузера.
