Portál AbcLinuxu, 6. května 2025 11:47

Bezpečnostní problémy v LastPass

V multiplatformním softwaru pro správu přihlašovacích údajů a hesel LastPass (Wikipedie) bylo nalezeno a opraveno několik vážných bezpečnostních problémů. Pokud například uživatel zadal do prohlížeče http://avlidienbrunn.se/@twitter.com/@hehe.php, webový prohlížeč se připojil na avlidienbrunn.se, pro webové rozšíření LastPass se ale jednalo o twitter.com a do útočníkova formuláře na avlidienbrunn.se bylo automaticky vyplněno uživatelovo jméno a heslo pro Twitter. Vyjádření společnosti LastPass v příspěvku na blogu.

28.7.2016 16:37 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

31.7.2016 17:40 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Bezpečnostní problémy v LastPass
Odpovědět | Sbalit | Link | Blokovat | Admin
Obrana proti podobným případným chybám je jednoduchá - vypnout automatické vyplňování údajů.

To je IMO problém i při napadené ale jinak legitimní stránce, která by si četla obsah formulářů. Ruční vyplnění by sice narazilo stejně, ale pokud může útočník pustit skript, může změnit i DOM a dát si tam login form a prohlížeče vyplní heslo, i když jsem už přihlášený, např. z doby před napadením webu.
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.