tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
1. si treba uvedomit, ze pocitace a software nie je vec kazdodenna a preto je irelevantne pokladat cloveka za blazna, ktory si uklada hesla do prehliadaca. mnoho a mozno sa nemylim ak poviem vacsina ludi nema k pocitacu ziaden vztah, preto sa snazia za kazdu cenu pracu si na nom pracu ulahcit a vlastne aj k tomu boli pocitace navrhnute. tu davam na vinu aj prehliadacom(pricina - dosledok), ze na cloveka pri zadani hesla vyleti dialog, ci si treba heslo zapamatat. clovek neznaly podvedome veri programu, ze mu chce pracu ulahcit a je dobre si nechat heslo zapamat, inac by ten dialog naho nevyskocil, vsakze.
2. teraz k samotnej chybe. ja som ju sice len preletel, ale pokial som to pochopil, tak hockde na multihostingu ti staci vytvorit formular s rovnakym nazvom a inputmi a firefox pretoze sa aj domenove meno zhoduje ti ho predvyplni. urobit teda skryty formular je uplne easy a staci len trochu predstavivosti a na tlacikto submit, klikne kazdy, nie len neznaly uzivatel ale aj znaly a aj ty. staci zmenit layout, tlacitko cez css pekne customizovat, urobit nejaky hlasovaci formular(alebo len napisat na tlacitko(customizovane cez css - "dalsia stranka") a uz mam hesla. cize zoberme si teraz priklad - seznam.cz
pripravim si takto formular, kde bude akoze hlasovanie ci sa vam tato stranka paci(napr. od 1 do 5) a hodim link napr. na poradna.net. ver tomu, ze ludia zahlasuju a ti, ktori maju hesla zapamatane v prehliadaci, tak uz ich hesla vlastnim. ok, povieme si vsak to je len freemail. aj tu je problem, pretoze este mnoho ludi(vychadzamez bodu 1) pouziva takyto mail aj ako firemnu mail adresu. aj keby ju nepouzivalo, tak na takyto mail ti mozu dojst citlive informacie od niekoho ineho(neznaleho, nie blazna) a moze sa ku nim dostat nepovolana osoba. este ku heslam. pretoze ludska pamat nie je bezhranicna, vacsina ludi to bud robi takto, alebo si pise hesla na papierik, alebo dava heslam urcitu logiku, ktora ma vacsinou spolocny zaklad. cize aj ked hesla na rozne domeny ma ine, pri takomto sposobe nie je problem urobit program, ktory spoji slovnikovy utok(nas ziskany zaklad) s bruteforce utokom.
cize pre mna(nie osobne) ako osobu je tato chyba high critical.
btw., teraz ma napadlo, kedy som sa vlastne zacal zaoberat bezpecnostou. pretoze som od prirody paranoidny, tak som si uz ako 14 rocny vsimal ludi, ako sa chovaju pri trezoroch. urcite si pamatate, ze na staniciach boli uschovne na jednuchy zamok: kombinacia znaku abecedy a 3 cislic. v predu sa odomkynal a vo vnutri sa urcoval odomykaci kod. co myslis, kolko ludi si ho pri vybere batoziny zmenilo? poviem ti, ani jeden. myslis, ze sa toto neda zneuzit? nebudem davat navod, len poviem ze da.
//edit: teraz ma napadlo, ze tam ani ziadne tlacitko submit netreba a da sa to urobit javascriptom. takze bez uplnej interaktivity uzivatela ziskam jeho heslo.