Laverna: Klartext-Verschlüsselungskennwort in der URL-Zeile!

Wo hast du es entdeckt? Auf der Einstellungsseite?

Nein, ich habe versucht, mich bei einer Neuinstallation anzumelden, dann zu Optionen zu gelangen, das Verschlüsselungskennwort festzulegen und zur Startseite zurückzukehren. Die Eingabeaufforderung für den Schlüssel enc brachte mich zu einer Seite mit dem Kennwort in der URL.

https://i.redd.it/096w6x07l3px.png

Komm schon Leute

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

Könnte es möglich sein, dass dies OS / Browser-spezifisch ist? Scheint, als wären alle Screenshots unter Windows aufgenommen worden?

@claell Nein. Das Passwort wird einfach über GET übertragen. Diese Leute kennen die Sicherheit einfach nicht. Dies ist kein Fehler, dies ist Nachlässigkeit.

@claell Dies ist entweder browserspezifisch . Dies ist das Ergebnis einer schlecht codierten Anwendung. Man überträgt PASSWÖRTER nicht einfach im Klartext durch GET .....

Und diese Ausgabe ist seit über 6 Monaten offen! Repariere diese Scheiße schon!

@miestasmia @Yrlish Dies geschieht nicht für alle Benutzer. In einigen Fällen gibt es diese schlechte Übertragung, in anderen nicht. Ich habe mich gefragt, was das verursacht.

@claell Ich greift Ihr Browser möglicherweise auf GET zurück, und sie haben etwas Ähnliches wie PHPs $ _REQUEST verwendet, das sich nicht darum kümmert, woher es kommt, weshalb es nicht mehr repariert wurde.

Das wird noch anekdotischer :)

Entschuldigung, aber dies geschieht NICHT, weil Ihr Passwort irgendwo übertragen wird, sondern weil Sie beim ersten Start nach der Eingabe des Passworts wahrscheinlich ENTER eingegeben haben. Es passiert einfach, weil wir das Standardverhalten nicht verhindert haben.

Das beabsichtigte Verhalten beim ersten Start war das Klicken auf die Schaltfläche "Weiter", anstatt das Formular abzusenden. Dann würde das Passwort in indexeddb gespeichert. Das Problem kann behoben werden, indem das Senden von Formularen insgesamt verhindert wird.

Viele von Ihnen scheinen zu denken, dass das Passwort speziell hier auf den Server übertragen

Es tut uns leid, dass wir die Probleme so lange offen gehalten haben, dass wir nicht genug Zeit hatten, sie im Auge zu behalten.

Der Fehler wurde behoben. Wie gesagt, es geschah einfach, weil wir vergessen haben, das Standardverhalten des Formulars zu verhindern. Vielen Dank an @ jn0 für die Meldung des Problems.

Ich verwende Chrome Version 59.0.3071.115 (Official Build) (64-Bit) unter Windows 10 Pro x64 und habe gerade dieses Problem festgestellt. Das von mir eingegebene Passwort wird im Klartext in der URL-Leiste angezeigt, die in meinem Browserverlauf gespeichert ist, und wird jedem angezeigt, der diese URL über die automatische Vervollständigung anzeigt (insbesondere, wenn ich Laverna eingebe). Die Offenlegung von Kennwörtern stellt eine Sicherheitslücke mit hohem Schweregrad dar, insbesondere wenn mein Browserverlauf, der ein Klartextkennwort enthält, möglicherweise an einen Remoteangreifer weitergegeben wird.

Das Problem trat auf, als ich zum ersten Mal unter meiner Konfiguration eine verschlüsselte Instanz erstellte. Die URL mit dem Passwort wird unmittelbar nach dem Bildschirm angezeigt, auf dem "Entsperren" und Auswählen einer App angezeigt wird. Es wird wie folgt angezeigt: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

Ich bin mir nicht sicher, aber ich denke, die beste Vorgehensweise besteht darin, einen Hash zu bestehen und zu vergleichen oder die Formularübermittlung überhaupt nicht zu verwenden.