Firefoxは?と思ってソース見たら "Such a "hybrid" solution can be in manually control autofill functionality. Below are instructions for Chromium-based browsers only, I was unable to find this setting for Mozilla Firefox." とのこと
決済画面でリロードすると不正なページ移動とかなるからな
「攻撃者が正規のサイト(ドメイン)の脆弱性(XSSやSubdomain takeover)を悪用して攻撃してくる可能性」→ 要はオフィシャルサイトがやらかしてると対策も意味無いし、そんなんだと遅かれ早かれDBから情報漏洩もしてそう
“入力補助機能があるブラウザ拡張の設定を 「ブラウザ拡張のアイコンをクリックしたときのみ有効化する」設定 にすることをお勧めします”
これは無理だ引っかかるわ
あり得る話だなとは思っていた
話は違うがそもそもパスワードマネージャーの制作者が信頼できるかどうかってどうやって確かめたらいいの?
id:circled コレはパスマネを騙して自動入力させ、パスマネがコンテンツに差し込んで表示してるダイアログをクリックジャッキングでユーザーに操作させるという手法なので、正規サイト側の問題じゃないです
ブラウザ拡張じゃないブラウザ標準のパスワード保存・自動入力の場合は該当しないってこと?
仕掛けられたサイト上でiFrameでパスワード抜きたいサイトが表示されると起こるみたいだが、CSPヘッダーやX-Frame-Optionsちゃんと設定されてたらiFeame表示できないから起こらない?機能拡張側もiFrameに対応しない設定作れば?
最終的にはWHATWGやパスワードマネージャー業界で人間に不可視のフィールドに入力補完してはいけない。とかになるのだろうか?
パスワードマネージャを開いてコピーしていれば問題なさそう
Autofillと狭義のパスワード自動入力でXSS等を必要とするかどうかが変わるので受け止め側に混乱がある。AutofillはXSS等を必要としない。元サイトでもケースを分けて説明されている。ただ対策しておくに越したことはない。
これは変な広告で適当に飛ばされるような雑なサイトでもクリック一つで、気づかずに自分のクレジットカード情報が送信されうるという話。普段使ってる正規サイトの脆弱性とかの話じゃないのに、全然伝わってなさげ。
こんな設定あったのか。助かる。/↓野良プラグインが汚染されて仕込まれたらどんなサイトにでもレイヤー表示できてしまうので正規サイト側の問題は関係ないですよ。なので使わないプラグインの削除も大事。
パスワードマネージャへのクリックジャッキング攻撃に対して、いま私たちが出来ること
Firefoxは?と思ってソース見たら "Such a "hybrid" solution can be in manually control autofill functionality. Below are instructions for Chromium-based browsers only, I was unable to find this setting for Mozilla Firefox." とのこと
決済画面でリロードすると不正なページ移動とかなるからな
「攻撃者が正規のサイト(ドメイン)の脆弱性(XSSやSubdomain takeover)を悪用して攻撃してくる可能性」→ 要はオフィシャルサイトがやらかしてると対策も意味無いし、そんなんだと遅かれ早かれDBから情報漏洩もしてそう
“入力補助機能があるブラウザ拡張の設定を 「ブラウザ拡張のアイコンをクリックしたときのみ有効化する」設定 にすることをお勧めします”
これは無理だ引っかかるわ
あり得る話だなとは思っていた
話は違うがそもそもパスワードマネージャーの制作者が信頼できるかどうかってどうやって確かめたらいいの?
id:circled コレはパスマネを騙して自動入力させ、パスマネがコンテンツに差し込んで表示してるダイアログをクリックジャッキングでユーザーに操作させるという手法なので、正規サイト側の問題じゃないです
ブラウザ拡張じゃないブラウザ標準のパスワード保存・自動入力の場合は該当しないってこと?
仕掛けられたサイト上でiFrameでパスワード抜きたいサイトが表示されると起こるみたいだが、CSPヘッダーやX-Frame-Optionsちゃんと設定されてたらiFeame表示できないから起こらない?機能拡張側もiFrameに対応しない設定作れば?
最終的にはWHATWGやパスワードマネージャー業界で人間に不可視のフィールドに入力補完してはいけない。とかになるのだろうか?
パスワードマネージャを開いてコピーしていれば問題なさそう
Autofillと狭義のパスワード自動入力でXSS等を必要とするかどうかが変わるので受け止め側に混乱がある。AutofillはXSS等を必要としない。元サイトでもケースを分けて説明されている。ただ対策しておくに越したことはない。
これは変な広告で適当に飛ばされるような雑なサイトでもクリック一つで、気づかずに自分のクレジットカード情報が送信されうるという話。普段使ってる正規サイトの脆弱性とかの話じゃないのに、全然伝わってなさげ。
こんな設定あったのか。助かる。/↓野良プラグインが汚染されて仕込まれたらどんなサイトにでもレイヤー表示できてしまうので正規サイト側の問題は関係ないですよ。なので使わないプラグインの削除も大事。