Laverna: URL行に平文暗号化パスワード！

どこで見つけましたか？ 設定ページで？

いいえ、新規インストールにログインしてから、[オプション]に移動し、暗号化パスワードを設定して、スタートページに戻りました。 encキーのプロンプトが表示され、URLにパスワードが含まれているページが表示されました。

https://i.redd.it/096w6x07l3px.png

みんなおいでよ

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

これがOS /ブラウザ固有である可能性はありますか？ すべてのスクリーンショットはWindowsで撮影されているようですか？

@claellいいえ。パスワードはGETを介して転送されるだけです。 これらの人はセキュリティを完全に知らないだけです。 これはバグではなく、過失です。

@claellこれはOSまたはブラウザに固有です。 これは、不適切にコーディングされたアプリケーションの結果です。 GET ....を介してプレーンテキストでパスワードを転送するだけではありません。

そして、この号は6か月以上前から公開されています。 すでにこのたわごとを修正してください！

@ miestasmia @ Yrlishこれはすべてのユーザーに発生しているわけではありません。 したがって、この悪い転送がある場合とそうでない場合があります。 何が原因なのか気になりました。

@claell私は彼らがPOSTを使用することを意図していたと収集しましたが、何らかの理由でブラウザがGETにフォールバックする可能性があり、どこから来たのかを気にしないPHPの$ _REQUESTに似たものを使用したため、修正されていません。

これはさらに逸話的になります:)

申し訳ありませんが、これはパスワードがどこかに転送されたためではなく、パスワードを入力した後の最初の起動時に、おそらくENTERと入力したために発生します。 これは、デフォルトの動作を妨げなかったという理由だけで発生します。

最初の開始時の意図された動作は、フォームを送信する代わりに「次へ」ボタンをクリックすることでした。 次に、パスワードはindexeddbに保存されます。 この問題は、フォームの送信を完全に防止することで修正できます。

多くの人は、パスワードが特にここでサーバーに転送されることを意図していると考えているようですが、実際には、パスワードはPOSTリクエストではなく、GETリクエストでは絶対にどこにも転送されることを意図していませんでした。

問題を長期間開いたままにして申し訳ありませんが、問題を追跡するのに十分な時間がありませんでした。

バグが修正されました。 私が言ったように、それは単にデフォルトのフォームの振る舞いを防ぐのを忘れたという理由で起こっていました。 問題を報告していただきありがとうございます@ jn0 。

Windows 10 Pro x64でChromeバージョン59.0.3071.115（公式ビルド）（64ビット）を使用していますが、この問題が発生しました。 入力したパスワードは、ブラウザの履歴に保存されているURLバーにプレーンテキストで表示され、オートコンプリートを介して誰にでも表示されます（特に、Lavernaと入力した場合）。 パスワードの開示は、特にプレーンテキストのパスワードを含むブラウザの履歴がリモートの攻撃者に開示される可能性がある場合に、重大度の高いセキュリティの脆弱性です。

この問題は、自分の構成で暗号化されたインスタンスを初めて作成したときに発生しました。 パスワード付きのURLは、「ロック解除」と表示され、アプリを選択した画面の直後に表示されるURLです。 次のように表示されます： https ： notes / task

よくわかりませんが、ここでのベストプラクティスは、ハッシュを渡して比較するか、フォーム送信をまったく使用しないことだと思います。