Laverna: كلمة مرور تشفير النص العادي في سطر URL!

تم إنشاؤها على ٢٨ مارس ٢٠١٦  ·  13تعليقات  ·  مصدر: Laverna/laverna

أنه.

bug
مصدر
picture jn0
😄8 😕2 🎉2

التعليق الأكثر فائدة

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

picture BurungHantu1605 في ٣ أكتوبر ٢٠١٦
👍11 😄1

ال 13 كومينتر

أين اكتشفته؟ في صفحة الإعدادات؟

wwebfor picture wwebfor في ٢٨ مارس ٢٠١٦

لا ، لقد حاولت تسجيل الدخول إلى تثبيت جديد ، ثم انتقل إلى الخيارات ، وقم بتعيين كلمة مرور التشفير والعودة إلى صفحة البداية. لقد أوصلني موجه مفتاح enc إلى صفحة بها كلمة مرور في URL.

jn0 picture jn0 في ٢٨ مارس ٢٠١٦

https://i.redd.it/096w6x07l3px.png

كونوا واقعيين يا قوم

jhallard picture jhallard في ٣ أكتوبر ٢٠١٦
👍9

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

BurungHantu1605 picture BurungHantu1605 في ٣ أكتوبر ٢٠١٦
👍11 😄1

هل من الممكن أن يكون هذا محددًا بنظام التشغيل / المتصفح؟ يبدو أن كل لقطات الشاشة مأخوذة على Windows؟

claell picture claell في ٣ أكتوبر ٢٠١٦

claell No. يتم نقل كلمة المرور ببساطة من خلال GET. هؤلاء الرجال يجهلون الأمن تمامًا. هذا ليس خطأ ، هذا إهمال.

miestasmia picture miestasmia في ٣ أكتوبر ٢٠١٦

claell هذا إما نظام تشغيل أو متصفح خاص. هذا هو نتيجة تطبيق مشفر بشكل سيء. لا يقوم المرء ببساطة بنقل كلمات المرور في نص عادي من خلال GET .....

وقد ظل هذا الإصدار مفتوحًا منذ أكثر من 6 أشهر! إصلاح هذا الهراء بالفعل!

Yrlish picture Yrlish في ٣ أكتوبر ٢٠١٦
👍5

miestasmiaYrlish هذا لن يحدث لجميع المستخدمين. لذلك في بعض الحالات يكون هناك هذا التحويل السيئ وفي حالات أخرى لا يكون كذلك. كنت أتساءل ما الذي يسبب هذا.

claell picture claell في ٤ أكتوبر ٢٠١٦

أجمعclaell أنهم كانوا يعتزمون استخدام POST ولكن لأي سبب من الأسباب قد يرجع متصفحك إلى GET ، واستخدموا شيئًا مشابهًا لـ PHP $ _REQUEST الذي لا يهتم بمصدره ، ولهذا السبب لم يتم إصلاحه.

miestasmia picture miestasmia في ٥ أكتوبر ٢٠١٦

يصبح هذا أكثر حكاية :)

jn0 picture jn0 في ١٠ ديسمبر ٢٠١٦

عذرًا ، ولكن هذا لا يحدث لأن كلمة المرور الخاصة بك تم نقلها في مكان ما ولكن لأنه في البداية الأولى بعد كتابة كلمة المرور ، ربما قمت بكتابة إدخال. يحدث ذلك ببساطة لأننا لم نمنع السلوك الافتراضي.

كان السلوك المقصود في البداية هو النقر فوق الزر "التالي" بدلاً من إرسال النموذج. بعد ذلك ، سيتم حفظ كلمة المرور في indexeddb. يمكن إصلاح المشكلة عن طريق منع إرسال النموذج تمامًا.

يبدو أن الكثير منكم يفكرون في أن كلمة المرور كان من المفترض أن يتم نقلها إلى الخادم خاصة هنا ، ولكن في الواقع لم يكن من المفترض أن يتم نقل كلمة المرور في أي مكان بدون طلب POST وبالتأكيد ليس مع طلب GET.

نأسف لإبقاء المشكلات مفتوحة لفترة طويلة لم يكن لدينا وقت كافٍ لتتبعها.

wwebfor picture wwebfor في ١١ ديسمبر ٢٠١٦
👍1

تم إصلاح الخلل. كما قلت ، كان يحدث ببساطة لأننا نسينا منع سلوك النموذج الافتراضي. شكرًا لك @ jn0 على الإبلاغ عن المشكلة.

wwebfor picture wwebfor في ١٥ ديسمبر ٢٠١٦
👍1

أنا أستخدم إصدار Chrome 59.0.3071.115 (الإصدار الرسمي) (64 بت) على نظام التشغيل Windows 10 Pro x64 وقد واجهت هذه المشكلة للتو. تظهر كلمة المرور التي أدخلتها في نص عادي في شريط عنوان url ، مخزنة في سجل المتصفح الخاص بي ، ويتم عرضها لأي شخص عبر الإكمال التلقائي لإظهار عنوان url هذا (خاصة عندما أكتب Laverna). يُعد الكشف عن كلمة المرور ثغرة أمنية عالية الخطورة ، خاصةً عندما يتم الكشف عن سجل المتصفح الذي يحتوي على كلمة مرور نص عادي لمهاجم بعيد.

حدثت المشكلة عندما أنشأت مثيلًا مشفرًا لأول مرة ضمن التهيئة الخاصة بي. عنوان URL الذي يحتوي على كلمة المرور هو العنوان الذي يظهر مباشرة بعد الشاشة والذي يشير إلى "إلغاء القفل" واختيار التطبيق. يتم عرضه على النحو التالي: https://laverna.cc/app/؟password=PLAINTEXT&cloudStorage=0#/notes/f/task

لست متأكدًا ولكني أعتقد أن أفضل الممارسات هنا هي تمرير التجزئة ومقارنتها أو عدم استخدام إرسال النموذج على الإطلاق.

GuiltyPixel picture GuiltyPixel في ١٤ يوليو ٢٠١٧
👍1
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

userdaphi picture userdaphi  ·  4تعليقات
nicolas-raoul picture nicolas-raoul  ·  5تعليقات
magowiz picture magowiz  ·  7تعليقات
JerJohn15 picture JerJohn15  ·  4تعليقات
maxmopp picture maxmopp  ·  3تعليقات