Tags:
Node Thumbnail

Tavis Ormandy นักวิจัยความปลอดภัยกูเกิลเขียนบทความวิเคราะห์ความปลอดภัยของปลั๊กอินที่เชื่อมต่อโปรแกรมเก็บรหัสผ่านเข้ากับเบราว์เซอร์เพื่อความสะดวกในการใช้งาน

Travis ระบุว่าปลั๊กอินที่เชื่อมตัวเก็บรหัสผ่านเข้ากับเบราว์เซอร์นั้นมักอาศัยการแก้ไขคอนเทนต์ในตัวเว็บเพื่อแสดงไอคอนและ UI ที่เกี่ยวข้องกับการจัดการรหัสผ่าน จากนั้นตัวโปรแกรมมักสร้างช่องทางพิเศษเพื่อเชื่อมต่อไปยังตัวโปรแกรมจัดการรหัสผ่านนักเบราว์เซอร์ แนวทางเช่นนี้สร้างความเสี่ยงเพราะเว็บที่มุ่งร้ายสามารถใช้ช่องทางนี้เข้าถึงโปรแกรมจัดการรหัสผ่านได้ และสคริปต์ที่ปลั๊กอินใส่เข้าไปในหน้าเว็บก็เปิดทางให้เว็บมุ่งร้ายดัดแปลงสคริปต์มาหลอกผู้ใช้ได้

เขาระบุว่าหากต้องการใช้ตัวจัดการรหัสผ่านสำหรับบริการออนไลน์ในเบราว์เซอร์แล้ว เขาแนะนำให้ใช้ตัวจัดการรหัสผ่านในเบราว์เซอร์เองเลยดีที่สุด เพราะตัวจัดการเหลา่นี้ใช้ UI ของตัวเบราว์เซอร์เองโดยตรง (เช่นแสดงไอคอนในช่อง URL) ปิดโอกาสไม่ให้เว็บมุ่งร้ายพยายามแสดงหน้าจอหลอกผู้ใช้ และลดความเสี่ยงการบุกรุกเครื่อง

ที่มา - cmpxchg8b

No Description

Get latest news from Blognone

Comments

By: naja_return
AndroidWindows
on 6 June 2021 - 14:51 #1211513

ถ้า bitwarden ที่ไม่ได้ขึ้นเตือนใน UI ก็ไม่น่าจะเสี่ยงตอน auto fill ใช่รึเปล่าหว่า

By: jaideejung007
ContributorWindows PhoneWindows
on 7 June 2021 - 03:48 #1211550 Reply to:1211513
jaideejung007's picture

+1

By: huajaiplateen on 6 June 2021 - 15:19 #1211514
huajaiplateen's picture

nord เหรอ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 6 June 2021 - 19:39 #1211534 Reply to:1211514
lew's picture

จริงๆ เขาพูดถึงทุกตัวโดยรวม แต่ในบทความใช้ Nord มาวิเคราะห์ยกตัวอย่าง


lewcpe.com, @wasonliw

By: Nolim
AndroidWindows
on 6 June 2021 - 15:20 #1211515

ไม่แปลก ความสะดวกสบายมากขึ้นมันต้องแลกกะความปลอดภัยที่ลดลงอยู่แล้ว

By: deaknaew on 6 June 2021 - 15:54 #1211519

อ่านแล้วยังงงๆ เพราะไม่เคยใช้ ปกติแล้ว password manager ต่างๆมันก็ส่ง password ของ web นั้นๆแบบอยู่แล้ว ไม่ได้ส่งของเว็บอื่้นให้นี่ ?
ถึงจะเข้าถึง element หรือ ui กรอก password อัตโนมัติ มันก็เป็นของเว็บตัวเองอยู่แล้ว
หรือมันมีช่องโหว่ของ addon ที่ไปดึง password ของเว็บอื่นได้?

By: big50000
AndroidSUSEUbuntu
on 6 June 2021 - 21:21 #1211542 Reply to:1211519
big50000's picture

หลัก ที่เป็นปัญหาคือ password manager พวกนี้ดัดแปลงสคริปต์ในเว็บไซต์โดยตรงเพื่อแสดงโปรแกรมจัดการรหัสผ่าน ซึ่งเว็บถ้าจะมุ่งร้ายก็สามารถดัดแปลง element ของโปรแกรมจัดการรหัสผ่านเพื่อกระทำการบางอย่างได้ (ไม่จำเป็นต้องเกี่ยวกับการขโมยรหัสผ่าน) เช่น รบกวนการทำงาน, trigger ตัว screenshot ภายในเบราว์เซอร์ หรือถ้าตัวจัดการรหัสผ่าน implement ตัวตรวจสอบแบบ bad practice ก็อาจจะ trigger ให้มันดึงรหัสผ่านจากเว็บจริงมาใส่เว็บปลอมได้ด้วย ประกอบกับตัวจัดการรหัสผ่านจะตรวจสอบการดัดแปลงนี้ได้ยาก

By: mr_tawan
ContributoriPhoneAndroidWindows
on 6 June 2021 - 20:22 #1211537
mr_tawan's picture

ถ้าพูดแบบนี้ extension ทุกตัวอันตรายหมดล่ะครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: itpcc
ContributoriPhoneRed HatUbuntu
on 7 June 2021 - 01:44 #1211547
itpcc's picture

Researchers เขียนคำแนะนำอวยเครือตัวเองซะด้วย จริงๆ วิธีอิ่นมันก็มี แบบ KeePass ทำอย่าง autotype มันก็ทำได้มั้ยล่ะ


บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P