ブラウザ内蔵の奴は?
iCloudのパスワードって入力する時は必ず生体認証かパスコードが必要なんだが。と思って調べたら 書いてあった iCloud Passwords was tested only as a browser extension (Google Chrome, Firefox, etc.) and not as a system application with Safari integration.
つまり元サイトが改変されていたら、ってこと?それはそうでは。/なるほど
サジェストが出てそれをクリックしたら内容が挿入されるタイプが多い気がするけど、うまくサジェストをクリックさせているということ?とりあえず気をつけるけど
緩和策ってなんだろう?とりあえず時間がある時に実験してみたい
なかなか自衛手段しかないのが厳しいね
アカウント毎にパスワードを変更して流用防止、クレジットカードじゃなくてPaypalやAmazonPayを利用。もう改変されてるサービスはどうしようもない…
広告等に仕込まれた悪意の有るスクリプトで正規のポップアップの裏に「こっそり入力欄が差し込まれる」というシナリオを考えると分かり易い。取り敢えずオートフィルは危険。
ChromeのGoogleパスワードマネージャーだとセキュリティコード求められる気がする。あの仕様面倒だからやめてほしいと思ってたけど意味あるんだな
うーむ
HTML・スクリプトが不正改変されていたら情報が窃取されうるのは普通のことで、そのタイプの窃取のうちの一類型が示されたということに過ぎない
↓サイトが改変されてても、クレカの情報とかは利用者が購入行動を起こさなければ盗めないけど、これは利用者が入力する意図がなくてもアカウント情報を盗めるという点が問題なのでは?
改変されたら他の手法もいくらでもあるからなあ
クレカの自動入力はドメインと紐づいていなくても可能な場合があるのでさらに危険。多くの場合、3Dセキュアで引っかかりそうだが別の悪用もできるな。
クリックジャッキングか。/XSSだと外部から攻撃できる気もする。
「クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせる」それができるならまあ。あとは入力してしまったことを悟られないための工夫。
元の報告には分けて書かれているが、パスワードはドメイン合致しないと候補が出ないので元サイトの改変が必要。クレカ等の自動入力はドメイン関係なく候補が出るので、改変しなくても攻撃者サイトで窃取できる、と。
利用者の誤操作を狙うという意味では古典的な手法ではある。UI上のフォームに機密情報を入力させるのをやめたい。認証ならPasskeyがあるけど、クレカ情報はなんとかならんかな?
だからCookie許可したくないんだよなぁ
クロスサイトスクリプティング攻撃やサブドメインの乗っ取りがあったら情報は抜き取られるだろ。自動入力の前の前提がサーバークラック済みはおかしいだろ。
"クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせることで、この手法によって機密情報を窃取される恐れがあるという。"
GDPR規制のクッキー同意ポップアップを読まずに反射的にOKしてるから不安になる。。
クレカ情報のAutoFillはユーザーの明示的なアクションが必要だけど、この手法を使用すれば気づかないうちにアクションしたことになってしまうという話ね。サイト側が改変されている・いないは本質ではないよ。
Webブラウザの自動入力機能を利用した攻撃
「Cookieで流出」じゃなくて「Cookie許可を模したレイヤー」を押させて、裏の入力欄を実行させるのか。ブラウザプラグインが汚染されてたら乗っ取りサイトだけじゃなくて正規サイトに被せることもできるし結構深刻かも?
最近の脆弱性報告って、前提がおかしいことが多い気がするんだよね。クリックジャッキングとかそれやられたらcookieとかパスワードマネージャとか関係なしに情報盗めるじゃんとか。
クレカの自動入力ダイアログはウェブページ側からいじれないようにするべきよな
『Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまうため、機密情報が入力されて盗まれてしまう』
パスワードマネージャにクレカのautofillってなんで付いてんだろ?パスワードのautofill自体は手動入力に比べてフィッシング耐性あるから有用だけどさ。
そもそも別の要素を上に乗っけるにはサイトが改竄されていないとこの状況を作り出せないような気がするが?なにか勘違いしている?
オリジンの改ざんだけでなく、jsやcssの配布の経路で改ざんを受けていると隠された入力欄が発動する。
“Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまう”
この記事をおすすめしました
Cookieを許可したらアカウント情報が流出!? パスワード自動入力を悪用した攻撃に注意
ブラウザ内蔵の奴は?
iCloudのパスワードって入力する時は必ず生体認証かパスコードが必要なんだが。と思って調べたら 書いてあった iCloud Passwords was tested only as a browser extension (Google Chrome, Firefox, etc.) and not as a system application with Safari integration.
つまり元サイトが改変されていたら、ってこと?それはそうでは。/なるほど
サジェストが出てそれをクリックしたら内容が挿入されるタイプが多い気がするけど、うまくサジェストをクリックさせているということ?とりあえず気をつけるけど
緩和策ってなんだろう?とりあえず時間がある時に実験してみたい
なかなか自衛手段しかないのが厳しいね
アカウント毎にパスワードを変更して流用防止、クレジットカードじゃなくてPaypalやAmazonPayを利用。もう改変されてるサービスはどうしようもない…
広告等に仕込まれた悪意の有るスクリプトで正規のポップアップの裏に「こっそり入力欄が差し込まれる」というシナリオを考えると分かり易い。取り敢えずオートフィルは危険。
ChromeのGoogleパスワードマネージャーだとセキュリティコード求められる気がする。あの仕様面倒だからやめてほしいと思ってたけど意味あるんだな
うーむ
HTML・スクリプトが不正改変されていたら情報が窃取されうるのは普通のことで、そのタイプの窃取のうちの一類型が示されたということに過ぎない
↓サイトが改変されてても、クレカの情報とかは利用者が購入行動を起こさなければ盗めないけど、これは利用者が入力する意図がなくてもアカウント情報を盗めるという点が問題なのでは?
改変されたら他の手法もいくらでもあるからなあ
クレカの自動入力はドメインと紐づいていなくても可能な場合があるのでさらに危険。多くの場合、3Dセキュアで引っかかりそうだが別の悪用もできるな。
クリックジャッキングか。/XSSだと外部から攻撃できる気もする。
「クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせる」それができるならまあ。あとは入力してしまったことを悟られないための工夫。
元の報告には分けて書かれているが、パスワードはドメイン合致しないと候補が出ないので元サイトの改変が必要。クレカ等の自動入力はドメイン関係なく候補が出るので、改変しなくても攻撃者サイトで窃取できる、と。
利用者の誤操作を狙うという意味では古典的な手法ではある。UI上のフォームに機密情報を入力させるのをやめたい。認証ならPasskeyがあるけど、クレカ情報はなんとかならんかな?
だからCookie許可したくないんだよなぁ
クロスサイトスクリプティング攻撃やサブドメインの乗っ取りがあったら情報は抜き取られるだろ。自動入力の前の前提がサーバークラック済みはおかしいだろ。
"クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせることで、この手法によって機密情報を窃取される恐れがあるという。"
GDPR規制のクッキー同意ポップアップを読まずに反射的にOKしてるから不安になる。。
クレカ情報のAutoFillはユーザーの明示的なアクションが必要だけど、この手法を使用すれば気づかないうちにアクションしたことになってしまうという話ね。サイト側が改変されている・いないは本質ではないよ。
Webブラウザの自動入力機能を利用した攻撃
「Cookieで流出」じゃなくて「Cookie許可を模したレイヤー」を押させて、裏の入力欄を実行させるのか。ブラウザプラグインが汚染されてたら乗っ取りサイトだけじゃなくて正規サイトに被せることもできるし結構深刻かも?
最近の脆弱性報告って、前提がおかしいことが多い気がするんだよね。クリックジャッキングとかそれやられたらcookieとかパスワードマネージャとか関係なしに情報盗めるじゃんとか。
クレカの自動入力ダイアログはウェブページ側からいじれないようにするべきよな
『Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまうため、機密情報が入力されて盗まれてしまう』
パスワードマネージャにクレカのautofillってなんで付いてんだろ?パスワードのautofill自体は手動入力に比べてフィッシング耐性あるから有用だけどさ。
そもそも別の要素を上に乗っけるにはサイトが改竄されていないとこの状況を作り出せないような気がするが?なにか勘違いしている?
オリジンの改ざんだけでなく、jsやcssの配布の経路で改ざんを受けていると隠された入力欄が発動する。
“Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまう”
この記事をおすすめしました