Автор |
Сообщение |
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Сб Июн 18, 2005 9:18 pm (написано за 2 минуты 16 секунд)
Заголовок сообщения: Баг (или полубаг) с обработкой полей ввода пароля
|
|
Как известно, если на странице есть <input type=password>, то он должен прятать пароль всеми возможными способами. Так, он не только заменяет введенные символы на звездочки, но и не дает сделать Copy. Однако если на той же странице стоит Орфус, то можно выделить текст в таком поле, нажать Ctrl-Enter и увидеть пароль на экране! Не буду перечислять ситуации, в которых это может оказаться нехорошо.
|
|
Вернуться к началу |
|
|
Дмитрий Кóтеров
Администратор
Зарегистрирован: 10.03.2003
Сообщ.: 13502
Карма: 383 поощрить/наказать
|
Добавлено: Пн Июн 20, 2005 5:51 pm (спустя 1 день 20 часов 33 минуты; написано за 18 секунд)
Заголовок сообщения:
|
|
М-да... А что поделать? К сожалунию, так уж работают браузеры...
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Пн Июн 20, 2005 8:46 pm (спустя 2 часа 54 минуты; написано за 37 секунд)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек
В общем, это нужно обращаться не к Диме Котерову, а выше - к разработчикам движков браузеров, чтобы они запретили чтение паролей с помощью ЯваСкрипта.
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Ср Июн 22, 2005 9:39 pm (спустя 2 дня 53 минуты; написано за 1 минуту 26 секунд)
Заголовок сообщения:
|
|
Я думаю, что на уровне Орфуса можно хотя бы добавить проверку: если данный текст является значением пароля, то не показывать его на экране (и не посылать по мейлу) в открытом виде. Если хотите, я попробую сделать такую добавку к скрипту Орфуса.
|
|
Вернуться к началу |
|
|
Дмитрий Кóтеров
Администратор
Зарегистрирован: 10.03.2003
Сообщ.: 13502
Карма: 383 поощрить/наказать
|
Добавлено: Пт Июн 24, 2005 11:17 am (спустя 1 день 13 часов 37 минут; написано за 18 секунд)
Заголовок сообщения:
|
|
А как Вы определите, что текст является значением пароля? Он же через объект selection браузера получается.
|
|
Вернуться к началу |
|
|
Дмитрий Кóтеров
Администратор
Зарегистрирован: 10.03.2003
Сообщ.: 13502
Карма: 383 поощрить/наказать
|
Добавлено: Пт Июн 24, 2005 11:17 am (спустя 49 секунд; написано за 48 секунд)
Заголовок сообщения:
|
|
Мне кажется, все же проблема больше надуманна. Пользователь ведь видит, что он посылает по почте. И послать он может только свой собственный пароль (чужой так подсмотреть нельзя), да и то - ему покажется его пароль в окне.
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Пт Июн 24, 2005 3:49 pm (спустя 4 часа 31 минуту; написано за 5 минут 20 секунд)
Заголовок сообщения:
|
|
Дмитрий Кóтеров писал(а): |
А как Вы определите, что текст является значением пароля? Он же через объект selection браузера получается. |
Пока не знаю. Надеюсь, что можно как-то получить доступ не только к тексту, но и к тем элементам экрана, из значений которых он состоит.
Дмитрий Кóтеров писал(а): |
Мне кажется, все же проблема больше надуманна. Пользователь ведь видит, что он посылает по почте. |
Дело-то не в этом. Потому что:
Дмитрий Кóтеров писал(а): |
И послать он может только свой собственный пароль (чужой так подсмотреть нельзя), да и то - ему покажется его пароль в окне. |
Не задумывались ли Вы, почему в полях ввода пароля заблокирована команда Copy? Я полагаю, что речь о ситуациях, когда один человек заполняет пароль (или даже пароль берется из cookies, как при входе на многие почтовые сайты), а другой стоит у него за плечом. Именно на этот случай пароль заменяется на звездочки, и на этот же случай заблокировано Copy (если первый человек на минуту отошел от компьютера). На этот же случай нужно (бы) заблокировать показ пароля через alert и отправку его куда бы то ни было по почте.
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Пт Июн 24, 2005 10:02 pm (спустя 6 часов 12 минут; написано за 1 минуту 2 секунды)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек
Короче говоря, такая ситуация возникает крайне редко, и к тому же, вряд ли этот человек, который стоит за спиной, догадается нажать Ctrl+Enter. Скорее вирусов наловит кучу, чем это
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Сб Июн 25, 2005 10:58 pm (спустя 1 день 56 минут; написано за 1 минуту 54 секунды)
Заголовок сообщения:
|
|
Юpий Насрeтдинов писал(а): |
Владимир Коэн-Цедек
Короче говоря, такая ситуация возникает крайне редко, и к тому же, вряд ли этот человек, который стоит за спиной, догадается... |
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом.
|
|
Вернуться к началу |
|
|
Дмитрий Кóтеров
Администратор
Зарегистрирован: 10.03.2003
Сообщ.: 13502
Карма: 383 поощрить/наказать
|
Добавлено: Вс Июн 26, 2005 1:21 pm (спустя 14 часов 23 минуты; написано за 7 секунд)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек писал(а): |
или даже пароль берется из cookies, как при входе на многие почтовые сайты |
В этом случае всегда можно сделать view source, и там пароль покажется.
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Вс Июн 26, 2005 2:28 pm (спустя 1 час 6 минут; написано за 7 секунд)
Заголовок сообщения:
|
|
Дмитрий Кóтеров писал(а): |
Владимир Коэн-Цедек писал(а): |
или даже пароль берется из cookies, как при входе на многие почтовые сайты |
В этом случае всегда можно сделать view source, и там пароль покажется. |
Это неверно. Пароль ведь вставляется не на сервере. Я сейчас проверил и увидел вот что: <input type=password class=long size=6 name=Password tabindex=3 value=**********> Так что ничего не показывается.
|
|
Вернуться к началу |
|
|
Дмитрий Кóтеров
Администратор
Зарегистрирован: 10.03.2003
Сообщ.: 13502
Карма: 383 поощрить/наказать
|
Добавлено: Вс Июн 26, 2005 2:56 pm (спустя 27 минут; написано за 4 секунды)
Заголовок сообщения:
|
|
Какой браузер?
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Вс Июн 26, 2005 6:25 pm (спустя 3 часа 28 минут; написано за 40 секунд)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек писал(а): |
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом. |
Когда речь идёт о глупостях, высасываемых из пальца, то вполне являются. Надо лишь понять, что это глупость. Используя такие аргументы можно это показать.
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Вс Июн 26, 2005 8:49 pm (спустя 2 часа 24 минуты; написано за 14 секунд)
Заголовок сообщения:
|
|
Дмитрий Кóтеров писал(а): |
Какой браузер? |
IE 6.
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Вс Июн 26, 2005 8:51 pm (спустя 1 минуту 53 секунды; написано за 2 минуты 6 секунд)
Заголовок сообщения:
|
|
Юpий Насрeтдинов писал(а): |
Владимир Коэн-Цедек писал(а): |
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом. |
Когда речь идёт о глупостях, высасываемых из пальца, то вполне являются. Надо лишь понять, что это глупость. Используя такие аргументы можно это показать. |
:^))) Хорошие аргументы, однако. "Я в реальность воров не верю, следовательно бред об их существовании является глупостью". Что же, продолжайте не верить. Лично я все-таки буду их остерегаться.
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Вс Июн 26, 2005 9:25 pm (спустя 33 минуты; написано за 1 минуту 15 секунд)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек писал(а): |
Что же, продолжайте не верить. Лично я все-таки буду их остерегаться. |
Есть тысячи способов узнать этот пароль, вплоть до того, что например в Mozilla Firefox в расширении Web Developer есть функция «Показать все пароли». Вы тоже эту возможность попросите разработчиков убрать?
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Вс Июн 26, 2005 9:38 pm (спустя 12 минут; написано за 1 минуту 52 секунды)
Заголовок сообщения:
|
|
Юpий Насрeтдинов писал(а): |
Вы тоже эту возможность попросите разработчиков убрать? |
Да. Я считаю, что одной маленькой дырки в заборе достаточно, чтобы свести на нет все усилия по возведению забора.
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Пн Июн 27, 2005 10:21 pm (спустя 1 день 43 минуты; написано за 52 секунды)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек писал(а): |
Да. Я считаю, что одной маленькой дырки в заборе достаточно, чтобы свести на нет все усилия по возведению забора. |
Это конечно правильно, вот только этих дырок так много, что заткнуть все Вы всё равно не сможете. Потому что это называется параноя.
|
|
Вернуться к началу |
|
|
Maus
Модератор
Зарегистрирован: 29.06.2003
Сообщ.: 6918
Карма: 216 поощрить/наказать
Откуда: пос. Омсукчан Магаданской области
|
Добавлено: Пн Июн 27, 2005 10:26 pm (спустя 4 минуты; написано за 49 секунд)
Заголовок сообщения:
|
|
Юpий Насрeтдинов
Я бы даже сказал ,что (в данном случае) и забора никакого нет. Так, оптический обман...
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Пн Июн 27, 2005 10:30 pm (спустя 3 минуты; написано за 30 секунд)
Заголовок сообщения:
|
|
Maus
Ну, вернее, забор-то есть, но в основном очень трухлявый и еле-еле стоящий на ногах :)
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Пн Июн 27, 2005 10:42 pm (спустя 12 минут; написано за 1 минуту 25 секунд)
Заголовок сообщения:
|
|
Юpий Насрeтдинов писал(а): |
Потому что это называется параноя. |
У Ноя не было пары.
|
|
Вернуться к началу |
|
|
bæv
Модератор «Дзена»
Зарегистрирован: 27.08.2003
Сообщ.: 4151
Карма: 99 поощрить/наказать
|
Добавлено: Вт Июн 28, 2005 2:45 am (спустя 4 часа 3 минуты; написано за 1 минуту 22 секунды)
Заголовок сообщения:
|
|
Владимир Коэн-Цедек писал(а): |
У Ноя не было пары. |
-- разве? Вообще, я, вроде, понимаю на что намёк... Юpий Насрeтдинов: параноЙя
|
|
Вернуться к началу |
|
|
Юрий Насретдинов
Модератор
Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 192 поощрить/наказать
Откуда: 007 495
|
Добавлено: Вт Июн 28, 2005 8:15 pm (спустя 17 часов 30 минут; написано за 31 секунду)
Заголовок сообщения:
|
|
Спасибо :). Честно говоря, не привык проверять свои сообщения в Word'е по одной простой причине - обычно орфорграфических ошибок я делаю очень мало :).
|
|
Вернуться к началу |
|
|
Владимир Коэн-Цедек
Участник форума
Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 6 поощрить/наказать
Откуда: с исторической родины
|
Добавлено: Вт Июн 28, 2005 8:18 pm (спустя 2 минуты; написано за 1 минуту 11 секунд)
Заголовок сообщения:
|
|
Юpий Насрeтдинов писал(а): |
Спасибо :). Честно говоря, не привык проверять свои сообщения в Word'е по одной простой причине - обычно орфорграфических ошибок я делаю очень мало :). |
А вот теперь я начну огрызаться за то, что меня обозвали параноиком... Ладно, не буду. :^)
|
|
Вернуться к началу |
|
|
|