Laverna: простой текстовый пароль шифрования в строке URL!

Где ты это обнаружил? На странице настроек?

Нет, я попытался войти в новую установку, затем перейти к параметрам, установить пароль шифрования и вернуться на стартовую страницу. Запрос ключа enc привел меня на страницу с паролем в URL.

https://i.redd.it/096w6x07l3px.png

Давайте, ребята

https://www.reddit.com/r/softwaregore/comments/55j9wg/very_secure_password_storage_password/

Возможно ли, что это зависит от ОС / браузера? Кажется, все скриншоты сделаны в Windows?

@claell Нет. Пароль просто передается через GET. Эти парни совершенно не осведомлены о безопасности. Это не ошибка, это халатность.

@claell Это зависит от ОС или браузера. Это результат плохо написанного приложения. Нельзя просто передать ПАРОЛИ открытым текстом через GET .....

И этот выпуск открыт уже более 6 месяцев! Исправьте это дерьмо уже!

@miestasmia @Yrlish Это происходит не со всеми пользователями. Так что в некоторых случаях это плохой перенос, а в других - нет. Мне было интересно, что вызывает это.

@claell Я так понимаю, они предназначались для использования POST, но по какой-то причине ваш браузер мог вернуться к GET, и они использовали что-то похожее на PHP $ _REQUEST, которому все равно, откуда он берется, поэтому он не исправлен.

Это становится еще более анекдотичным :)

Извините, но это происходит НЕ потому, что ваш пароль куда-то передается, а потому, что при первом запуске после ввода пароля вы, вероятно, набрали ENTER. Это происходит просто потому, что мы не предотвратили поведение по умолчанию.

Предполагаемым поведением при первом запуске было нажатие кнопки «Далее» вместо отправки формы. Затем пароль будет сохранен в indexeddb. Эту проблему можно решить, полностью запретив отправку формы.

Многие из вас, кажется, думают, что пароль предназначался для передачи на сервер, особенно здесь , но на самом деле пароль никогда не предназначался для передачи куда-либо, не с запросом POST и определенно не с запросом GET.

Приносим извинения за то, что проблемы так долго оставались открытыми, у нас не было достаточно времени, чтобы их отслеживать.

Ошибка исправлена. Как я уже сказал, это произошло просто потому, что мы забыли предотвратить поведение формы по умолчанию. Спасибо @ jn0 за сообщение о проблеме.

Я использую Chrome версии 59.0.3071.115 (официальная сборка) (64-разрядная версия) в Windows 10 Pro x64 и только что столкнулся с этой проблемой. Введенный мной пароль отображается в виде открытого текста в строке URL-адресов, хранится в моей истории браузера и отображается всем, кто с помощью автозаполнения показывает этот URL-адрес (особенно, когда я набираю Laverna). Раскрытие пароля представляет собой серьезную уязвимость системы безопасности, особенно когда история моего браузера, содержащая пароль в виде открытого текста, может быть раскрыта удаленному злоумышленнику.

Проблема возникла, когда я впервые создал зашифрованный экземпляр в своей конфигурации. URL-адрес с паролем отображается сразу после экрана с надписью «разблокировать» и выбора приложения. Он отображается следующим образом: https://laverna.cc/app/?password=PLAINTEXT&cloudStorage=0#/notes/f/task

Я не уверен, но я думаю, что лучший способ здесь - передать и сравнить хэш или вообще не использовать отправку формы.