forum.opennet.ru

"Утечка идентификаторов пользователя через встроенный в брауз..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Утечка идентификаторов пользователя через встроенный в брауз..."	–1 +/–
Сообщение от Аноним (-), 28-Дек-17, 17:16
Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а то эти бараны никак не придумают уже. Итак, у SSL есть отпечаток ( Fingerprint = FA:E0 .. DF ) У меня есть логин и пароль, а точнее ключ для доступа к сайту SITE_KEY ( binary ). Заходя на сайт нажимая кнопку Войти срабатывает JavaScript запрашивающий этот самый SITE_KEY и сайту выдают мой SITE_KEY соответствующий SSL фингерпринту. Почему это не сделать, а нужно городить всяике oAuth и прочую чепушню? P.S. Каждый раз когда просят SITE_KEY выдавать окно с подтверждением.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Утечка идентификаторов пользователя через встроенный в брауз..., opennews, 28-Дек-17, 14:50 [смотреть все]

Вот и какой я теперь анонимус , Аноним, 28-Дек-17, 14:51 (2) //
- и какая это новость , EHLO, 28-Дек-17, 16:01 (16)
- тор браузер говорили они , rshadow, 28-Дек-17, 16:12 (19) //
  - Через тор и другие полезные для корреляции косвенные штуки утекают, как у нас ту, Michael Shigorin, 28-Дек-17, 18:26 (33)
- Никакой Вот потому никогда в браузерах пароли не сохраняю , ryoken, 29-Дек-17, 07:06 (69) //
  - не переживайте, все равно вас идентифицируют, koblin, 29-Дек-17, 14:20 (90) //
    - Вопрос в том кто, когда, как и с какой достоверностью , Аноним, 30-Дек-17, 04:40 (102)
Ну, чисто теоретически чинится просто - надо заполнять поля только когда в них п, Crazy Alex, 28-Дек-17, 14:55 (3) //
- Opera Magic Wand, вставляет пароль при нажатии на кнопку Всё уже было в Opera , Аноним, 28-Дек-17, 15:13 (5) //
  - А ведь точно, я и забыл уже, Crazy Alex, 28-Дек-17, 15:50 (12)
  - Точно, было Хороший был браузер С 5 по 12 версий , Аноним, 28-Дек-17, 18:17 (30) //
    - С рекламой - в 7-ой точно, Аноним, 29-Дек-17, 12:23 (85)
  - Расширение для ФФ с таким же поведениемhttps firefox add0n com secure-login ht, Аноним, 30-Дек-17, 13:08 (106)
Не зря я не пользовался встроенными запоминалками паролей , Аноним, 28-Дек-17, 14:57 (4) //
- Не зря я юзаю хромиум, Аноним, 28-Дек-17, 19:33 (43) //
  - Который делает то же самое, только после клика по странице , Аноним, 28-Дек-17, 19:56 (45)
Палю тему - запоминайте пароль с парой недостающих или лишних символов и тогда н, Аноним, 28-Дек-17, 15:15 (6) //
- Какая разница Вы -то для таргетинга один и тот же Что с буквами, что с недост, Аноним, 28-Дек-17, 15:28 (7) //
  - Цель атаки - запомненный хэш пароля из Менеджера ,таргетинг это маленькая непри, pavlinux, 28-Дек-17, 15:40 (11) //
    - Заполненный весь пароль, а не хеш Но подставляется только на этом сайте где был , Анм, 28-Дек-17, 17:13 (25)
      - Знаю ещё один способ обмануть таргетинг я сам был в ахуе, когда узнал пароль , iZEN, 28-Дек-17, 20:42 (49)
        
        Логин обычно не является чем-то секретным, так что в зависимости от сайта сторон, Гентушник, 29-Дек-17, 15:37 (91)
    - В менеджере паролей запоминаются логин и пароль, привязанные к сайту, на котором, iZEN, 28-Дек-17, 20:51 (52)
      - Последнее время наблюдаю таргетирование по IP, ох как мне любят показывать дет, Аноним, 09-Янв-18, 10:43 (115)
- Шо, вместо , запоминать Один сайт - одна виртуалка, а лучше комп , pavlinux, 28-Дек-17, 15:33 (10) //
  - Может Qubes наконец взлетит , whiteout, 29-Дек-17, 11:18 (81)
  - с отдельным IP из отдельного датацентра в отдельном города выделенной страны на , Аноним, 09-Янв-18, 10:44 (116)
- Так там ПОКА ЕЩЁ не в пароле дело, а в утащенном адресе мыла , ryoken, 29-Дек-17, 07:07 (70)
- есть ещё и более-менее постоянный ip адрес Для идентификации пользователя доста, DmA, 29-Дек-17, 08:45 (74)
Минутку, но ведь пользователь зарегистрирован на этом сайте и скорее всего лишь , Аноним, 28-Дек-17, 15:32 (8) //
- Или не хочет логиниться, Crazy Alex, 28-Дек-17, 15:52 (13) //
  - Заставить, pavlinux, 28-Дек-17, 15:56 (15) //
    - Ну раз логин и пароль скрипт может получить, то можно сразу и залогинить пользов, Гентушник, 29-Дек-17, 15:41 (92)
      - И спам от его имени автоматом отправить Ты только что почти изобрел спамеров , Аноним, 30-Дек-17, 04:59 (104)
- Огромная часть сайтов продаёт место, а за содержимым не следит , Аноним, 09-Янв-18, 10:46 (117)
В FF по клику выпадает список Автоматом не заполняет , Аноним, 28-Дек-17, 15:32 (9) //
- Это если у тебя несколько вариантов запомнено Если один - подставляет сразу, Crazy Alex, 28-Дек-17, 15:52 (14) //
  - Не совсем По клику выпадает form history https support mozilla org ru kb upra, Аноним, 28-Дек-17, 17:57 (29)
Что там насчёт Pale Moon https github com MoonchildProductions Pale-Moon issu, Аноним, 28-Дек-17, 16:07 (17) //
- Да что - подвержен, конечно , Crazy Alex, 28-Дек-17, 18:25 (32) //
  - Таки да https github com MoonchildProductions Pale-Moon issues 1559 issueco, Аноним, 29-Дек-17, 04:00 (68)
- Так там же и написано решение предложенное выше - заполнять, когда кликнул на, ойой, 29-Дек-17, 12:23 (84)
- В Pale Moon уже пофиксили - отключили автозаполнение по умолчанию - https git, Аноним, 29-Дек-17, 19:30 (100)
Утечка идентификаторов пользователя через встроенный в брауз..., Дуплик, 28-Дек-17, 16:07 (18) //
- Ну если ты не хранишь пароли в браузере, ты либо хранишь пароли на листочке, либ, Отражение луны, 28-Дек-17, 16:37 (23) //
  - А так хорошо начинали Пароли, сохраненные в браузере, не зашифрованы каким-то , XoRe, 28-Дек-17, 16:56 (24) //
    - В фаерфоксе зашифрованы мастер паролем, в хроме и наверно клонах пароли в реесте, Анм, 28-Дек-17, 17:16 (27)
      - В хроме и хромоподобных пароли открытым текстом лежат в БД SQLite Enjoy ё безоп, Вася, 29-Дек-17, 12:52 (88)
    - начинать тут надо с модели угроз Если мы подразумеваем более-менее обновляющийс, Crazy Alex, 28-Дек-17, 18:23 (31)
      - Стырили ноут телефон , XoRe, 29-Дек-17, 01:06 (66)
        
        В этом случае лучше полное шифрование на уровне ФС или блочного устройства, ибо , Гентушник, 29-Дек-17, 15:51 (95)
    - В Сафари и ФФ зашиврованы , Аноним, 28-Дек-17, 18:56 (35)
    - Для этого есть encfs , user, 28-Дек-17, 22:19 (56)
    - Хинт Firefox FIPS-140 , PnDx, 29-Дек-17, 12:28 (87)
    - В FF есть мастер пароль Плюс можно синхронизировать пароли между девайсами на ко, Гентушник, 29-Дек-17, 15:49 (94)
    - Не совсем Хром хранит пароли в гном кейринге Ты можешь настроить его так, что , Отражение луны, 29-Дек-17, 15:51 (96)
  - Как связана запоминаемость пароля и устойчивость к подбору Например есть пароль, ryoken, 29-Дек-17, 07:11 (71) //
    - Один такой пароль - можно Десятки - нет Твой вариант - один пароль для множест, Отражение луны, 29-Дек-17, 15:48 (93)
    - Основная проблема хранения паролей в файле - то, что они проходят через буфер об, Отражение луны, 29-Дек-17, 15:55 (97)
      - Это спорно В буфере обмена может быть что угодно а в менеджере паролей заведомо, Аноним, 30-Дек-17, 05:04 (105)
        
        Однако, исправно обламываются о мастер-пароль Чтобы стырить пароли, малвари нуж, Аноним84701, 30-Дек-17, 16:43 (112)
почему же тогда мой фурефокс не ведет себя столь постыдным образом, а вставляет , Аноним, 28-Дек-17, 16:13 (20) //
- Возможно дело в настройках не по умолчанию , ойой, 29-Дек-17, 12:25 (86)
Тем веселее, кстати, смотрится недавняя новость о новом менеджере паролей в фаер, Аноним, 28-Дек-17, 16:37 (22)
Господи да вот вам идея для авторизации на сатйах опишите ее кто-нибдуь в RFC, а , Аноним, 28-Дек-17, 17:16 (26) //
- Кажется, Вы описали клиентские сертификаты Это уже есть в браузере и использует, Аноним, 28-Дек-17, 19:17 (41)
- у меня была идея получше, но это как оказалось был велосипед, Аноним, 30-Дек-17, 01:16 (101)
- JavaScript Было бы смешно Если бы не навевало Тоску И грусть Вот между проч, Анонимный Алкоголик, 30-Дек-17, 04:47 (103)
безопасность уровня фаерфопс В Chrome с этим все в порядке -- требуется явно кл, Аноним, 28-Дек-17, 17:38 (28) //
- Разницы никакой, Crazy Alex, 28-Дек-17, 18:27 (34)
- Так это же всё меняет , Аноним, 28-Дек-17, 19:00 (38)
- Если я правильно понимаю, имелся в виду любой клик на странице, а не на форме вв, Аноним, 28-Дек-17, 19:23 (42) //
  - Да , Аноним, 28-Дек-17, 19:58 (46)
  - А скриптовый клик прокатит , rpm, 29-Дек-17, 00:25 (65) //
    - А что на 99 9 прозрачная форма поверх всего уже не катит в качестве ловушки для, КО, 29-Дек-17, 10:17 (79)
      - А зачем Юзер и так тыкнет в какое-то место, никаких прозрачных ловушек не надо , Аноним, 29-Дек-17, 11:41 (82)
Пользователь, зарегистрировавшийся на сайте с определенным идентификатором, види, Аноним, 28-Дек-17, 18:59 (37) //
- Более того, и бороться с этим бесполезно, т к если у тебя на сайте в профиле вве, vitalif, 28-Дек-17, 20:42 (50) //
  - Тут как бы весь цимес в том что пользователь идентифицируется даже если он на са, Гентушник, 29-Дек-17, 15:56 (98)
NoScript успешно спасает от этих проблем Даже если разрешить выполнение скрипто, Ordu, 28-Дек-17, 21:06 (55) //
- Хватит форсить этот древний бренд Давеча на форчане появились малварные домены , Аноним, 28-Дек-17, 22:36 (57) //
  - Их только юматрикс блокирует Или, например, адблок-плюс тоже может , Аноним, 28-Дек-17, 23:46 (61) //
    - ABP может наверное, юблок точно может , но проблема в том, что там блеклист с , Аноним, 29-Дек-17, 01:15 (67)
      - И даже если ты разрешил Наконец-то понял, для чего сайты запршивают капчю с доро, DmA, 29-Дек-17, 08:56 (75)
        
        А сайт и рад - чел с блокировщиком рекламы и слежки дохода не приносит, а ресурс, Аноним, 30-Дек-17, 13:38 (108)
      - Спасибо В Adblock-plus блеклист с вайтлистом я не использую, потому что они уж, Аноним, 29-Дек-17, 10:30 (80)
        
        124 124 example com js main js или 124 124 example com scriptНо есть е, Аноним, 29-Дек-17, 11:49 (83)
        
        Спасибо , Аноним, 29-Дек-17, 18:34 (99)
  - Что ж ты так переживаешь, что кто-нибудь что-нибудь зафорсит, да тебя не спросит, Ordu, 29-Дек-17, 00:15 (62)
В Firefox about configsignon autofillForms - falsehttp kb mozillazine org Sig, Аноним, 28-Дек-17, 23:34 (58)
1 Не использовать менеджер паролей 2 Использовать для электронной почты отдель, Аноним, 28-Дек-17, 23:37 (59) //
- почтовый клиент, ryoken, 29-Дек-17, 07:16 (72)
- в firefox есть контейнеры, Аноним, 30-Дек-17, 13:43 (110)
Давно отключаю в Firefox запоминание истории, не фиг мой диск изнашивать всякими, DmA, 29-Дек-17, 08:42 (73)
Мозиле фундешен нужно разок проучить всех пользователей Firefox добавить в как, DmA, 29-Дек-17, 09:04 (76) //
- А ещё лучше не только сохранённых паролей, но и вводимых пользователем без сохра, DmA, 29-Дек-17, 13:44 (89)
- между действительностью и её описанием всегда есть глубокий разлом, переполненны, Аноним, 30-Дек-17, 13:30 (107)
- i Bы сели за компьютер - значит вы собираетесь какую-то информацию о себе повед, eganru, 30-Дек-17, 13:40 (109) //
  - На себя стучишь , Аноним, 30-Дек-17, 13:44 (111)
- Какие будут ваши предложения Не сохранять пароли, это первое правило Отчищать , Аноним, 31-Дек-17, 09:54 (114)
Кто ими пользуется ССЗБ , Аноним, 31-Дек-17, 09:50 (113)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру