Комментарии 31
На сайте mail.ru это будет работать? Очень надеюсь, что именно в связи с этим неэтичным поведением майлрушного сайта Яндекс предложил решение.
Нельзя отрицать того, что хоть и слабая технология, но все же защищает от какой то части атак. А так, «театр безопасности» тема популярная.
НЛО прилетело и опубликовало эту надпись здесь
Эта защита от фишинга. Браузер уточняет у пользователя, точно ли он хочет отдать свой пароль от хорошего сайта Х вот этому неизвестному сайту Y.
Сила знает пароль(скорее его хэш) если он сохранен в хранилище паролей браузера. И да, она сравнивает его перед отправкой формы и останавливает отправку формы.
Сделали бы POC страничку. Глядишь, Яндекс улучшит защиту. А так не обратят внимания.
Яндекс в курсе.
Живые примеры есть, были отправлены Яндексу, публиковать их в открытом доступе, считаю не совсем правильным решением. Хотя, полагаю, Яндекс не считает вышесказанное проблемой. Со мной они не связались, исправления которые они внесли не закрывают проблему. Вчера проверил, перебор пароля все равно возможен. По большому счету функцию защиты пароля надо убирать, так как она таковой не является, но на это они пойти не могут. Полагаю, причиной появления этой фичи явилась проблема с mail.ru и подсмотренный у Google Password Alert https://googleblog.blogspot.ru/2015/04/protect-your-google-account-with.html
Здравствуйте.
Спасибо, что обратили внимание на Яндекс.Браузер. Хочу немного прокомментировать.
1. Конечно, этот метод имеет свои ограничения и поэтому не является единственным методом защиты от фишинга. У нас, конечно же, есть и база плохих, фишинговых сайтах, о которых мы предупредим пользователя ещё до захода на них. Но от части generic-атак, не рассчитанных прицельно на Яндекс.Браузер, этот метод может уберечь.
К тому же мы работаем над тем, чтобы расширить его, в частности, сделать некоторые из описанных вами подходов тоже неработающими.
Но от произвольно нарисованного контрола, не являющегося инпутом, это не убережет, конечно. От него вообще, кажется, может уберечь только если мы будем выводить input type=password в особом, уникальном для каждого отдельного пользователя, дизайне, а пользователь будет внимательно за этим следить и не вводить свой пароль никуда, кроме полей ввода такого особого дизайна.
Кроме того, само по себе использование одного и того же пароля на разных сайтах, часть из которых может даже не работать по https — очень небезопасная вещь. Предупреждая о таких случаях, мы заметно повышаем безопасность учетных записей пользователя.
2. Перебор паролей через эту функцию сделать не получится, т.к. браузер отличает пользовательские события от эмуляции. Нам уже сообщали о возможности такой атаки в первой версии Яндекс.Браузера с этой возможностью и мы закрыли эту уязвимость и все похожие способы использовать нашу защиту для перебора в версии 15.12.
Роман Иванов,
Яндекс.Браузер
Спасибо, что обратили внимание на Яндекс.Браузер. Хочу немного прокомментировать.
1. Конечно, этот метод имеет свои ограничения и поэтому не является единственным методом защиты от фишинга. У нас, конечно же, есть и база плохих, фишинговых сайтах, о которых мы предупредим пользователя ещё до захода на них. Но от части generic-атак, не рассчитанных прицельно на Яндекс.Браузер, этот метод может уберечь.
К тому же мы работаем над тем, чтобы расширить его, в частности, сделать некоторые из описанных вами подходов тоже неработающими.
Но от произвольно нарисованного контрола, не являющегося инпутом, это не убережет, конечно. От него вообще, кажется, может уберечь только если мы будем выводить input type=password в особом, уникальном для каждого отдельного пользователя, дизайне, а пользователь будет внимательно за этим следить и не вводить свой пароль никуда, кроме полей ввода такого особого дизайна.
Кроме того, само по себе использование одного и того же пароля на разных сайтах, часть из которых может даже не работать по https — очень небезопасная вещь. Предупреждая о таких случаях, мы заметно повышаем безопасность учетных записей пользователя.
2. Перебор паролей через эту функцию сделать не получится, т.к. браузер отличает пользовательские события от эмуляции. Нам уже сообщали о возможности такой атаки в первой версии Яндекс.Браузера с этой возможностью и мы закрыли эту уязвимость и все похожие способы использовать нашу защиту для перебора в версии 15.12.
Роман Иванов,
Яндекс.Браузер
Проверялось на версии 15.10.2454.3865 в конце октября, тогда же вам и сообщил.
Хотелось бы услышать Ваш комментарий на третий пункт.
Хотелось бы услышать Ваш комментарий на третий пункт.
Есть предложение добавить генератор паролей, если пользователь захочет сменить пароль после такого вопроса.
может уберечь только если мы будем выводить input type=password в особом, уникальном для каждого отдельного пользователя, дизайне
А разве фишеры не могут обойтись вообще без input type=password и полностью его эмулировать? Например принимать ввод в незаметный контрол, а эхо выводить по событиям в другой, поверх него?
Если пользователь будет знать, что вводить пароль можно только в поле, фон у которого фиолетовый в оранжевую полоску, то он не станет вводить пароль в то, что выглядит иначе.
Наверное, но я-то не об этом.
А о чём?
О том, смогут ли фишеры обойти вашу защиту, нарисовав ровно то, что ожидает пользователь, но без type=password.
Я просто во фронтенде не очень, поэтому интересуюсь.
Я просто во фронтенде не очень, поэтому интересуюсь.
Нет, потому что они не будут знать уникальный для этого пользователя вид. Ну, пока в HTML5 не появится API для скриншотов, конечно.
А разве такого API сейчас нет? К примеру, SVG foreignObject, переданный в canvas. Но, в теории, можно и просто поверх поля для ввода пароля наложить слой с прозрачным полем для ввода. Другое дело, если бы пароль можно было ввести только в недоступном для страницы месте, аля поле для ввода адреса сайта. Это уже, как мне кажется, просто так не поделаешь.
> К примеру, SVG foreignObject, переданный в canvas.
С этим, мне кажется, браузер может побороться, впрочем, я недостаточно глубоко в теме, чтобы уверенно это утверждать.
С этим, мне кажется, браузер может побороться, впрочем, я недостаточно глубоко в теме, чтобы уверенно это утверждать.
jsfiddle.net/Serator/dh86482v — вот пример того, что можно получить сейчас. Отработало с Fx'е, Chrome'е. EDGE выдал ошибку на запросе данных значения пикселя из изображения.
Будут фишинговые страницы смотреть на юзер-агент, если он принадлежит Яндекс-браузеру, то будут показывать «поле, фон у которого фиолетовый в оранжевую полоску». Гонка вооружений какая-то.
Иван, вы так и не ответили на третий пункт. И да, посмотрел вечером исправление в версии 15.12, оно не устранило возможность перебора паролей, более того позволяет увеличить скорость перебора на два порядка.
Извините, Роман, я перепутал имя обращаясь к Вам. :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Немного про Яндекс Protect