Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 15

Ну, это же несколько искусственный пример, не? Чтобы оно сработало, надо чтобы сошлись следующие звезды:
1. На сайте, от которого нужен пароль, должна быть уязвимая страница.
2. На этой странице должна быть форма, в которую мало того, что можно подставить параметры из УРЛа из Get запроса, так еще и чтобы оно всё выводилось без экранирования.
3. У пользователя должен быть сохранен пароль от этого сайта в браузере.

Ну, т.е. очень маловероятный сценарий ))

Комментарий пока не оценивали0

ну не то чтобы очень малая вероятность)
вполне рабочий пример, да главным условием должно быть наличие уязвимости XSS,

а насчет сохранения паролей в браузере, практика показывает, что так делают почти все

Всего голосов 4: ↑4 и ↓0+4

Да легко, ссылка в письме не отличимом от настоящего, с вашими персональными данными и правильным доменном, не вызовет никаких опасений, например, "Геннадий Букин, напоминаем, что срок оплаты страховых взносов,... вы можете легко оплатить онлайн, ваш Банк". В эпоху "слили очередную базу" это рядовой случай. А дальше, очередной скомпрометированный .js счётчика, идентификатора, сколько их таких используется, и на СБЕР, ВТБ, Госуслугах.. ну а пароли как верно подметили, "так делают почти все.

Блин, ещё одна фобия.

Комментарий пока не оценивали0

У нас на работе весёлые админы постоянно рассылают письма от имени компании, имитирующие фишинговые, выглядящие как настоящие, но с хитрыми ссылками, количество кликов по которым они же и отслеживают. Ну типа смените пароль, проверьте данные профиля и т.д. Раз в квартал такая учебная тревога прилетает, и народ вроде научился не щёлкать куда попало, а помечать их как фишинговые.

Всего голосов 3: ↑3 и ↓0+3

Говорят сотовые провайдеры в РФ легко вставляют в html свой код

Комментарий пока не оценивали0

И не только в РФ. Однако, с https это не работает.

Всего голосов 1: ↑1 и ↓0+1

MIM, и какой-нить админ внутри компании может стырить данные карточек сотрудников.

Комментарий пока не оценивали0

А если кнопку ОК сделать прозрачной для кликов (pointer-events: none), и подставить над вашей кнопкой?

Всего голосов 2: ↑2 и ↓0+2

кстати да, сработает) тогда в случае кипасса отстаётся только надеяться, что база не разблокирована в текущий момент

Всего голосов 1: ↑1 и ↓0+1

поясните правильно ли я понял:
1. пользователь зашел на "неблагонадежный" сайт
2. вылезло какоето окно с кнопкой ОК, которое на самом деле содержит форму ввода логина и пароля, например от сайта какого либо почтовика, а браузер любезно подставил туда логин и пароль
3. при нажатии на ОК именно эти логин и пароль утекают ?

Комментарий пока не оценивали0

логин-пароль будет от того сайта, на котором уязвимость

Комментарий пока не оценивали0

т.е. с сайта из п.№1 ?

Комментарий пока не оценивали0

ага, но это не обязательно будет "неблагонадёжный" сайт, уязвимость может быть на любом сайте

Комментарий пока не оценивали0

хм, надо будет попробовать еще раз менеджер паролей - на первой попытке keepassx мне не понравился в удобстве, например для гугла не работал

Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr