Laverna: senha de criptografia de texto simples na linha de URL!

Onde você descobriu isso? Na página de configurações?

Não, tentei fazer o login para uma nova instalação, vá para Opções, defina a senha de criptografia e volte para a página inicial. O prompt para a chave enc me levou a uma página com a senha em URL.

https://i.redd.it/096w6x07l3px.png

vamos lá pessoal

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

É possível que seja específico do sistema operacional / navegador? Parece que todas as capturas de tela foram tiradas no Windows?

@claell Não. A senha é simplesmente transferida por meio de GET. Esses caras são totalmente ignorantes sobre segurança. Isso não é um bug, é negligência.

@claell Isso é específico do sistema operacional ou do navegador. Este é o resultado de um aplicativo mal codificado. Não se simplesmente transfere SENHAS em texto simples por meio de GET .....

E esta edição está aberta há mais de 6 meses! Conserte essa merda já!

@miestasmia @Yrlish Isso não está acontecendo para todos os usuários. Então, em alguns casos, há essa transferência ruim e em outros não. Eu queria saber o que causa isso.

@claell Suponho que eles pretendiam que ele usasse POST, mas por alguma razão seu navegador pode estar voltando para GET, e eles usaram algo semelhante ao $ _REQUEST do PHP que não se importa de onde vem, e é por isso que não foi corrigido.

Isso se torna ainda mais anedótico :)

Desculpe, mas isso acontece NÃO porque sua senha foi transferida para algum lugar, mas porque na primeira vez depois de digitar a senha, você provavelmente digitou ENTER. Isso acontece simplesmente porque não evitamos o comportamento padrão.

O comportamento pretendido na primeira inicialização era clicar no botão "Avançar" em vez de enviar o formulário. Então, a senha seria salva em indexeddb. O problema pode ser corrigido impedindo o envio do formulário por completo.

Muitos de vocês parecem estar pensando que a senha foi planejada para ser transferida para o servidor, especialmente aqui , mas na verdade a senha nunca foi feita para ser transferida para qualquer lugar que não fosse com solicitação POST e definitivamente não com solicitação GET.

Desculpe por manter os problemas abertos por tanto tempo que não tivemos tempo suficiente para controlá-los.

O bug foi corrigido. Como eu disse, isso estava acontecendo simplesmente porque nos esquecemos de evitar o comportamento padrão do formulário. Obrigado @ jn0 por relatar o problema.

Estou usando a versão do Chrome 59.0.3071.115 (versão oficial) (64 bits) no Windows 10 Pro x64 e acabei de enfrentar esse problema. A senha que eu digitei é mostrada em texto simples na barra de url, armazenada no histórico do meu navegador, mostrada para quem via autocomplete mostrando esta url (especialmente quando eu digito Laverna). A divulgação de senha é uma vulnerabilidade de segurança de alta gravidade, especialmente quando o histórico do meu navegador contendo uma senha em texto simples pode ser divulgado a um invasor remoto.

O problema aconteceu quando criei uma instância criptografada pela primeira vez em minha configuração. O URL com a senha é aquele mostrado imediatamente após a tela que diz 'desbloquear' e selecionar um aplicativo. Ele é exibido da seguinte forma: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

Não tenho certeza, mas acho que a melhor prática aqui é passar e comparar um hash ou não usar o envio de formulário.