04.05.2015, 11:20
Na wielu portalach całkiem niedawno poinformowano o nowej technologii Google, która ma wzmocnić bezpieczeństwo użytkowników poprzez ochronę stosowanych przez nich haseł. Niestety coś się nie udaje z tym projektem, o czym napisał Niebezpiecznik.
Źródło
Cytat:Password Alert, to rozszerzenie jakie[Aby zobaczyć linki, zarejestruj się tutaj]
. Jego zadaniem jest wykryć fakt wprowadzania przez użytkownika swojego hasła do konta Google na innej (w domyśle fałszywej) stronie. Rozszerzenie w zamyśle ma więc być ochroną przed atakami phishingowymi. Problem w tym, że rozszerzenie można oszukać i dwukrotnie dokonał tego jeden z programistów.
Pierwsze z obejść Paula Moore’a, znalezione w 2 minuty, działa jak pop-up blocker. Wyszukuje treść ostrzeżenia wyświetlanego przez rozszerzenie po wykryciu fałszywej strony i …usuwa je sprzed oczu ofiary. Błąd jaki popełniło Google, to umieszczenie ostrzeżenia w tym samym originie co skrypty atakującego.
(..)
Google szybko usunęło ten błąd w aktualizacji i wtedy Moore znalazł drugie obejście, które polega na odświeżaniu strony po wprowadzeniu przez użytkownika każdego znaku hasła. To powoduje, że rozszerzenie nigdy nie widzi całości hasła użytkownika, a więc nigdy nie ostrzeże użytkownika przed wyciekiem hasła, bo zawsze będzie myślało, że wprowadzane hasło jest inne od prawdziwego hasła do konta Google.
Żeby było śmieszniej, w zanadrzu jest już[Aby zobaczyć linki, zarejestruj się tutaj]
…
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"