Isto é.
Onde você descobriu isso? Na página de configurações?
Não, tentei fazer o login para uma nova instalação, vá para Opções, defina a senha de criptografia e volte para a página inicial. O prompt para a chave enc me levou a uma página com a senha em URL.
https://i.redd.it/096w6x07l3px.png
vamos lá pessoal
É possível que seja específico do sistema operacional / navegador? Parece que todas as capturas de tela foram tiradas no Windows?
@claell Não. A senha é simplesmente transferida por meio de GET. Esses caras são totalmente ignorantes sobre segurança. Isso não é um bug, é negligência.
@claell Isso é específico do sistema operacional ou do navegador. Este é o resultado de um aplicativo mal codificado. Não se simplesmente transfere SENHAS em texto simples por meio de GET .....
E esta edição está aberta há mais de 6 meses! Conserte essa merda já!
@miestasmia @Yrlish Isso não está acontecendo para todos os usuários. Então, em alguns casos, há essa transferência ruim e em outros não. Eu queria saber o que causa isso.
@claell Suponho que eles pretendiam que ele usasse POST, mas por alguma razão seu navegador pode estar voltando para GET, e eles usaram algo semelhante ao $ _REQUEST do PHP que não se importa de onde vem, e é por isso que não foi corrigido.
Isso se torna ainda mais anedótico :)
Desculpe, mas isso acontece NÃO porque sua senha foi transferida para algum lugar, mas porque na primeira vez depois de digitar a senha, você provavelmente digitou ENTER. Isso acontece simplesmente porque não evitamos o comportamento padrão.
O comportamento pretendido na primeira inicialização era clicar no botão "Avançar" em vez de enviar o formulário. Então, a senha seria salva em indexeddb. O problema pode ser corrigido impedindo o envio do formulário por completo.
Muitos de vocês parecem estar pensando que a senha foi planejada para ser transferida para o servidor, especialmente aqui , mas na verdade a senha nunca foi feita para ser transferida para qualquer lugar que não fosse com solicitação POST e definitivamente não com solicitação GET.
Desculpe por manter os problemas abertos por tanto tempo que não tivemos tempo suficiente para controlá-los.
O bug foi corrigido. Como eu disse, isso estava acontecendo simplesmente porque nos esquecemos de evitar o comportamento padrão do formulário. Obrigado @ jn0 por relatar o problema.
Estou usando a versão do Chrome 59.0.3071.115 (versão oficial) (64 bits) no Windows 10 Pro x64 e acabei de enfrentar esse problema. A senha que eu digitei é mostrada em texto simples na barra de url, armazenada no histórico do meu navegador, mostrada para quem via autocomplete mostrando esta url (especialmente quando eu digito Laverna). A divulgação de senha é uma vulnerabilidade de segurança de alta gravidade, especialmente quando o histórico do meu navegador contendo uma senha em texto simples pode ser divulgado a um invasor remoto.
O problema aconteceu quando criei uma instância criptografada pela primeira vez em minha configuração. O URL com a senha é aquele mostrado imediatamente após a tela que diz 'desbloquear' e selecionar um aplicativo. Ele é exibido da seguinte forma: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task
Não tenho certeza, mas acho que a melhor prática aqui é passar e comparar um hash ou não usar o envio de formulário.
Comentários muito úteis
https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/