Laverna: mot de passe de cryptage en texte brut dans la ligne URL!

Où l'avez-vous découvert? Dans la page des paramètres?

Non, j'ai essayé de me connecter à une nouvelle installation, puis d'accéder à Options, de définir le mot de passe de cryptage et de revenir à la page de démarrage. L'invite pour la clé enc m'a amené à une page avec un mot de passe dans l'URL.

https://i.redd.it/096w6x07l3px.png

allez les gars

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

Serait-il possible que ce soit spécifique au système d'exploitation / navigateur? On dirait que toutes les captures d'écran sont prises sous Windows?

@claell Non. Le mot de passe est simplement transféré via GET. Ces types sont tout simplement ignorants de la sécurité. Ce n'est pas un bug, c'est de la négligence.

@claell Ceci est spécifique au système d'exploitation ou au navigateur. C'est le résultat d'une application mal codée. On ne transfère pas simplement les MOTS DE PASSE en texte clair via GET .....

Et ce numéro est ouvert depuis plus de 6 mois! Corrige déjà cette merde!

@miestasmia @Yrlish Cela ne se produit pas pour tous les utilisateurs. Donc, dans certains cas, il y a ce mauvais transfert et dans d'autres, ce n'est pas le cas. Je me demandais ce qui cause cela.

@claell Je

Cela devient encore plus anecdotique :)

Désolé, mais cela ne se produit PAS parce que votre mot de passe est transféré quelque part mais parce que lors du premier démarrage après avoir tapé le mot de passe, vous avez probablement tapé ENTRÉE. Cela se produit simplement parce que nous n'avons pas empêché le comportement par défaut.

Le comportement prévu au premier démarrage était de cliquer sur le bouton «Suivant» au lieu de soumettre le formulaire. Ensuite, le mot de passe serait enregistré dans indexeddb. Le problème peut être résolu en empêchant complètement la soumission du formulaire.

Beaucoup d'entre vous semblent penser que le mot de passe était destiné à être transféré au serveur en particulier ici , mais en fait, le mot de passe n'a jamais été destiné à être transféré n'importe où, pas avec une requête POST et certainement pas avec une requête GET.

Désolé de garder les problèmes ouverts pendant si longtemps, nous n'avons pas eu suffisamment de temps pour les suivre.

Le bogue a été corrigé. Comme je l'ai dit, cela se produisait simplement parce que nous avions oublié d'empêcher le comportement par défaut du formulaire. Merci @ jn0 d' avoir signalé le problème.

J'utilise la version 59.0.3071.115 de Chrome (version officielle) (64 bits) sur Windows 10 Pro x64 et je viens de rencontrer ce problème. Le mot de passe que j'ai entré est affiché en texte clair dans la barre d'url, stocké dans l'historique de mon navigateur, montré à quiconque via la saisie semi-automatique montrant cette URL (surtout lorsque je tape Laverna). La divulgation de mot de passe est une vulnérabilité de sécurité de haute gravité, en particulier lorsque l'historique de mon navigateur contenant un mot de passe en clair peut être divulgué à un attaquant distant.

Le problème s'est produit lorsque j'ai créé une instance chiffrée pour la première fois sous ma configuration. L'URL avec le mot de passe est celle affichée immédiatement après l'écran qui dit `` déverrouiller '' et sélectionner une application. Il s'affiche comme suit: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

Je ne suis pas sûr mais je pense que la meilleure pratique ici est de passer et de comparer un hachage ou de ne pas utiliser du tout la soumission de formulaire.