Laverna: kata sandi enkripsi teks biasa di baris URL!

Di mana Anda menemukannya? Di halaman pengaturan?

Tidak, saya mencoba masuk ke penginstalan baru, lalu masuk ke Opsi, mengatur kata sandi enkripsi, dan kembali ke halaman awal. Perintah untuk kunci enc membawa saya ke halaman dengan kata sandi di URL.

https://i.redd.it/096w6x07l3px.png

Ayolah teman-teman

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

Mungkinkah ini khusus OS / browser? Sepertinya semua tangkapan layar diambil di Windows?

@claell Tidak. Sandi hanya ditransfer melalui GET. Orang-orang ini sama sekali tidak peduli dengan keamanan. Ini bukan bug, ini kelalaian.

@claell Ini khusus untuk OS atau browser. Ini adalah hasil dari aplikasi dengan kode yang buruk. Seseorang tidak hanya mentransfer KATA SANDI dalam teks biasa melalui GET .....

Dan masalah ini telah terbuka selama lebih dari 6 bulan! Perbaiki ini sudah!

@miestasmia @Yrlish Ini tidak terjadi untuk semua pengguna. Jadi dalam beberapa kasus ada transfer yang buruk ini dan dalam kasus lain tidak. Saya bertanya-tanya apa yang menyebabkan ini.

@claell Saya mengumpulkan mereka bermaksud untuk menggunakan POST tetapi untuk alasan apa pun browser Anda mungkin kembali ke GET, dan mereka menggunakan sesuatu yang mirip dengan PHP $ _REQUEST yang tidak peduli dari mana asalnya, itulah mengapa itu tidak diperbaiki.

Ini menjadi lebih anekdotik :)

Maaf, tapi ini terjadi BUKAN karena kata sandi Anda ditransfer ke suatu tempat tetapi karena pada permulaan pertama setelah mengetik kata sandi, Anda mungkin mengetik ENTER. Ini terjadi hanya karena kami tidak mencegah perilaku default.

Perilaku yang dimaksudkan pada permulaan pertama adalah mengklik tombol "berikutnya" alih-alih mengirimkan formulir. Kemudian, kata sandi akan disimpan di indexeddb. Masalah ini dapat diperbaiki dengan mencegah pengiriman formulir sama sekali.

Banyak dari Anda tampaknya berpikir bahwa kata sandi dimaksudkan untuk ditransfer ke server terutama di sini , tetapi sebenarnya kata sandi tidak pernah dimaksudkan untuk ditransfer ke mana pun tidak dengan permintaan POST dan pasti bukan dengan permintaan GET.

Maaf karena masalah tetap terbuka untuk waktu yang lama, kami tidak punya cukup waktu untuk melacaknya.

Bug telah diperbaiki. Seperti yang saya katakan, itu terjadi hanya karena kita lupa mencegah perilaku formulir default. Terima kasih @ jn0 karena telah melaporkan masalah ini.

Saya menggunakan Chrome Versi 59.0.3071.115 (Build Resmi) (64-bit) di Windows 10 Pro x64 dan saya baru saja mengalami masalah ini. Kata sandi yang saya masukkan ditampilkan dalam teks biasa di bilah url, disimpan di riwayat browser saya, ditampilkan kepada siapa pun melalui pelengkapan otomatis yang menampilkan url ini (khususnya saat saya mengetik Laverna). Pengungkapan kata sandi adalah kerentanan keamanan tingkat tinggi, terutama jika riwayat browser saya yang berisi kata sandi teks biasa dapat diungkapkan kepada penyerang jarak jauh.

Masalah terjadi saat saya membuat instance terenkripsi untuk pertama kali dalam konfigurasi saya. URL dengan kata sandi adalah yang ditampilkan segera setelah layar yang bertuliskan 'buka kunci' dan memilih aplikasi. Ini ditampilkan sebagai berikut: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

Saya tidak yakin, tetapi menurut saya praktik terbaik di sini adalah meneruskan dan membandingkan hash atau tidak menggunakan pengiriman formulir sama sekali.