Laverna: URL行中的纯文本加密密码！

您在哪里发现的？ 在设置页面？

否，我尝试登录到全新安装，然后进入“选项”，设置加密密码，然后回到“开始”页面。 提示输入enc键后，我进入了带有URL密码的页面。

https://i.redd.it/096w6x07l3px.png

拜托了伙计们

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

这可能是特定于OS /浏览器的吗？ 似乎所有屏幕截图都是在Windows上拍摄的？

@claell否。密码仅通过GET传输。 这些家伙完全不了解安全性。 这不是错误，这是疏忽大意。

@claell这是特定于操作系统或浏览器的。 这是应用程序编码错误的结果。 一个人不能简单地通过GET .....以明文形式传输PASSWORD 。

这个问题已经开放了6个月以上！ 已经解决了这个问题！

@miestasmia @Yrlish并非所有用户都这样。 因此，在某些情况下会发生这种不良转移，而在其他情况下则不会。 我想知道是什么原因造成的。

@claell我收集了他们打算让它使用POST的信息，但是无论出于何种原因，您的浏览器都可能会退回到GET，并且他们使用了类似于PHP的$ _REQUEST的名称，它并不关心它的来源，这就是为什么它不固定的原因。

这变得更加有趣：)

抱歉，发生这种情况不是因为您的密码已转移到某处，而是因为在键入密码后的第一次启动时，您可能键入了ENTER键。 发生这种情况仅仅是因为我们没有阻止默认行为。

首次启动时的预期行为是单击“下一步”按钮，而不是提交表单。 然后，密码将保存在indexeddb中。 可以通过完全阻止表单提交来解决此问题。

你们中的很多人似乎都在考虑将密码传输到服务器，尤其是在这里，但是实际上，密码绝不应该在没有POST请求且绝对没有GET请求的任何地方传输。

很抱歉让问题开放了这么长时间，我们没有足够的时间来跟踪它们。

该错误是固定的。 正如我所说的，发生这种情况的原因仅仅是因为我们忘记了防止默认表单行为。 感谢@ jn0报告此问题。

我在Windows 10 Pro x64上使用的是Chrome版本59.0.3071.115（正式版本）（64位），我刚刚遇到了此问题。 我输入的密码以纯文本形式显示在url栏中，并存储在我的浏览器历史记录中，并通过显示此url的自动完成功能显示给任何人（尤其是当我键入Laverna时）。 密码泄露是一个严重度很高的安全漏洞，尤其是当我的浏览器历史记录包含明文密码可能泄露给远程攻击者时，尤其如此。

当我在配置下首次创建加密实例时，就会发生此问题。 带有密码的URL是屏幕后立即显示的URL，上面显示“解锁”并选择一个应用程序。 它显示如下： https :

我不确定，但是我认为这里的最佳实践是传递和比较散列，或者根本不使用表单提交。