この記事だと、パスワード管理ソフトに保存されたどんな情報でも、と読めるけど、実際は、サブドメインが乗っ取られるか、サイト側に XSS の脆弱性がある場合に可能。
サイト自体の作りが脆弱なのを考えると、パスワードマネージャーが対応して実害が減っても、ある日サイトが脆弱性からデータ漏洩して結局漏れそうと思わんでもない
“パスワード管理アプリと連携するタイプは機密データ――パスキーまでも――を抜き取られてしまう” 本当かなぁ?
ブラウザ内蔵の奴は?
RoboFormは対策済みだったので解散というか高い金取ってるんだから当然やろというか。未だに対応してないとこは論外やろ
ま、便利故か。 脅威を認識し使い方を考えないとな
パスワード管理拡張機能「鍵ですか?家のようなものの前を通ったので刺しておきましたよ」
″ブラウザー拡張機能がDOMに挿入するUI要素もJavaScriptで透明化できるため、ユーザーは機密情報が盗み取られたことに気づかない。比較的最近の手法で、さまざまな派生がある″ギエー
パスワードを手作業ペーストすると、ドメイン名の異常に気づかずにフィッシングサイトにやられるリスクも有る。推奨するようなものではないと思う。
よくわかんないんだけど、ブラウザーはオートフィルのネイティブ UI を拡張機能に公開すべきなのかもしれんね ( ˘ω˘ )
パスワード管理アプリ使わないで
パスワードを面倒くさがって管理させる時代になったからこうなった訳で、手入力に回帰するしかないのか。
KeePassXCだとユーザーにURLが一致したエントリを示して選択させる/ユーザーの操作によりフィルするオプションがあるけどコレがベターかも。
サイトにXSSがあってクリックジャッキングが仕掛けられていた時の話でしょ?それはサイト側の問題でしょう
パスワードを盗むにはサイト側に何らかの脆弱性が必要だけど、クレカ情報はドメイン無関係にオートフィルされるからなぁ。僕は使ってないので条件はよく知らないけど、気付かずに盗まれる可能性ありそう。
内容はちゃんとしてるのにタイトル詐欺
8月時点でFIXEDのパスワードマネージャーはまだ信頼できそうだ
元のレポート読んでないんだけど、サイトにXSSがあるという前提なら、自動入力を使わずに手動で入力したパスワードも普通に盗めると思うのですが……
元ページも見に行ったが Dashlane てやつが良さそうか…?移行も考えようかねぇ… 1Passは8月21日にこれ出してるが https://support.1password.com/kb/202508/ "Updated: 22.8.2025"でまだvulnerableか…
雑すぎるサイトをミュートしてたら速攻上限に来てしまった。はてブ用に拡張でも書くしかないか。
一方MSはAuthenticatorからしれっとパスワードマネージャ機能を削除したのだった
やめれ
サイト側が脆弱ならどうしようもないな。極端な話バックエンド側で抜かれてたらユーザー側はなんもできん。ちゃんとしようとすると生体認証とか2段階認証になるのかなあ
サブドメインテイクオーバー、XSS、ウェブキャッシュポイズニングなど、悪性JSをロードさせるためのサイト改ざんが必要。ウェブリソースの真正性を確認できる技術の普及が必要。それでもDNSテイクオーバーはきびしそう
問題を理解していないブコメだらけ。これは「1.どこかのリンクを踏む」「2.ページ内のどこかをクリックする」の2アクションだけで、クレカ情報を抜き取られるよという話。サイト側が脆弱うんぬんは話の本質ではないよ
"パスワード管理ソフトの多くは、Webブラウザー拡張機能でパスワードやクレジットカード情報などを自動入力(オートフィル)する機能を備えている" そんな機能の管理アプリは使いません。自作の一択。
クレカの方がサイトを乗っ取られてなくても盗まれるのでこちらの方が問題だが、この書き方だとそうは読めないっていう
記事内容が不十分で原文を見ないと本質がわからない。任意のサイトで個人情報やクレカ情報を窃取できる脆弱性の方が、いくつか条件があるパスワード窃取より深刻。
あーID/パスワードのほうじゃなくて、クレカ情報のほうか。あるね、確かに。あれはドメインに紐づいてないのか…?
ほとんどのパスワード管理アプリから機密情報を盗み出せる ~拡張機能を狙う攻撃手法が明らかに/未対策のパスワードマネージャーも多数
この記事だと、パスワード管理ソフトに保存されたどんな情報でも、と読めるけど、実際は、サブドメインが乗っ取られるか、サイト側に XSS の脆弱性がある場合に可能。
サイト自体の作りが脆弱なのを考えると、パスワードマネージャーが対応して実害が減っても、ある日サイトが脆弱性からデータ漏洩して結局漏れそうと思わんでもない
“パスワード管理アプリと連携するタイプは機密データ――パスキーまでも――を抜き取られてしまう” 本当かなぁ?
ブラウザ内蔵の奴は?
RoboFormは対策済みだったので解散というか高い金取ってるんだから当然やろというか。未だに対応してないとこは論外やろ
ま、便利故か。 脅威を認識し使い方を考えないとな
パスワード管理拡張機能「鍵ですか?家のようなものの前を通ったので刺しておきましたよ」
″ブラウザー拡張機能がDOMに挿入するUI要素もJavaScriptで透明化できるため、ユーザーは機密情報が盗み取られたことに気づかない。比較的最近の手法で、さまざまな派生がある″ギエー
パスワードを手作業ペーストすると、ドメイン名の異常に気づかずにフィッシングサイトにやられるリスクも有る。推奨するようなものではないと思う。
よくわかんないんだけど、ブラウザーはオートフィルのネイティブ UI を拡張機能に公開すべきなのかもしれんね ( ˘ω˘ )
パスワード管理アプリ使わないで
パスワードを面倒くさがって管理させる時代になったからこうなった訳で、手入力に回帰するしかないのか。
KeePassXCだとユーザーにURLが一致したエントリを示して選択させる/ユーザーの操作によりフィルするオプションがあるけどコレがベターかも。
サイトにXSSがあってクリックジャッキングが仕掛けられていた時の話でしょ?それはサイト側の問題でしょう
パスワードを盗むにはサイト側に何らかの脆弱性が必要だけど、クレカ情報はドメイン無関係にオートフィルされるからなぁ。僕は使ってないので条件はよく知らないけど、気付かずに盗まれる可能性ありそう。
内容はちゃんとしてるのにタイトル詐欺
8月時点でFIXEDのパスワードマネージャーはまだ信頼できそうだ
元のレポート読んでないんだけど、サイトにXSSがあるという前提なら、自動入力を使わずに手動で入力したパスワードも普通に盗めると思うのですが……
元ページも見に行ったが Dashlane てやつが良さそうか…?移行も考えようかねぇ… 1Passは8月21日にこれ出してるが https://support.1password.com/kb/202508/ "Updated: 22.8.2025"でまだvulnerableか…
雑すぎるサイトをミュートしてたら速攻上限に来てしまった。はてブ用に拡張でも書くしかないか。
一方MSはAuthenticatorからしれっとパスワードマネージャ機能を削除したのだった
やめれ
サイト側が脆弱ならどうしようもないな。極端な話バックエンド側で抜かれてたらユーザー側はなんもできん。ちゃんとしようとすると生体認証とか2段階認証になるのかなあ
サブドメインテイクオーバー、XSS、ウェブキャッシュポイズニングなど、悪性JSをロードさせるためのサイト改ざんが必要。ウェブリソースの真正性を確認できる技術の普及が必要。それでもDNSテイクオーバーはきびしそう
問題を理解していないブコメだらけ。これは「1.どこかのリンクを踏む」「2.ページ内のどこかをクリックする」の2アクションだけで、クレカ情報を抜き取られるよという話。サイト側が脆弱うんぬんは話の本質ではないよ
"パスワード管理ソフトの多くは、Webブラウザー拡張機能でパスワードやクレジットカード情報などを自動入力(オートフィル)する機能を備えている" そんな機能の管理アプリは使いません。自作の一択。
クレカの方がサイトを乗っ取られてなくても盗まれるのでこちらの方が問題だが、この書き方だとそうは読めないっていう
記事内容が不十分で原文を見ないと本質がわからない。任意のサイトで個人情報やクレカ情報を窃取できる脆弱性の方が、いくつか条件があるパスワード窃取より深刻。
あーID/パスワードのほうじゃなくて、クレカ情報のほうか。あるね、確かに。あれはドメインに紐づいてないのか…?