KinderHacking - Zkontrolovat prvek (Chrome)
Zdravím všechny,
byl jsem včera velmi nemile překvapen, jak snadno lze zjistit "zapamatované heslo" v internetovém prohlížeči (konkrétně Chrome) pomocí fce Zkontrolovat prvek. Měl jsem za to, že je heslo chráněné před zveřejněním, jen slouží k rychlému přihlášení (někdo se může přihlásit - ale ne to heslo zjistit!), tohle mi přijde daleko nebezpečnější.
Je takto heslo "chráněné" ve všech prohlížečích stejně dobře, nebo je jediná možnost hesla v prohlížečích "nezapamatovávat"?
Díky.
lze zjistit heslo jakéhokoliv uživatele? tzn. že jsou dva uživatelé pc jarda a pepa. pepa zjistí heslo usera jarda?
Ono tady nejde o hesla k účtům Windows, ale přihlašovací formuláře v (Chrome) - prostě mě dostalo, jak snadno jde z xxxxxxxxxxxxxx odhalit MoJeSilNEheslo
google, tak jako ostatní spoléhají na systémové chráněné úložiště- nechají to na systému. win třeba majiteli umožní lozit v profilu- dokáží číst soubor v tvém profilu, ne v cizím. a hesla si ten trumbera uloží do souboru. příklad byl, že chromák ti vyplní heslo na seznam.cz jiného uživatele.
Tak to je ještě lepší
jak se to vezme.
http://www.bing.com/search?q=p%C5%99evzet%C3%AD%20 vlastnictv%C3%AD&form=MXB003&pc=MXBR
To je sice pravda, ženormálně jsou soubory normálně nešifrované a vlastnictví a práva jsou jen parodie na zabezpečení, které padnou při nabootování jiného OS.
Myslím, že windows od 7 nebo 8 používá něoco jako credential store, to API by mělo sloužit k ukládání právě těchto hesel a nebo kontejnerů - mělo by to být vázané právě na to, že pokud je uživatel přihlášen, lze informaci dekódovat. Otaázka je, zda to nějaké programy a chrome používá.
Já si chrome hesla neukládám. V Opeře 12 byl password manager, který byl chráněn master heslem. A jsem moc rád za možnost zjistit heslo pomocí Zkontrolovat prvek - Při příchodu na stránku dám ctrl enter a těsně potom esc, aby se zabránilo odeslání formuláře a formulář zustane vyplněný.
Tedy v Opeře 12 ty uložená hesla (pokud je povoleno master passowrd) jsou neprůstřelná nejen při offlilne útoku (liveCD), ale dá se to nastavit i realtime (je tam možnost vynucení zadat heslo pokaždé při vyplnění hesla, po uplynutí času nebo při spuštění browseru)
nevím, jestli jsi pochopil wikana. nic nezabrání vyloupení dat fyzické přítomnosti administrátora a to může být axiom i v případě šifry.
Ked to je silne sifrovane cez nejaky master password, tak ne (ani som nevedel ze to opera ma, nepouzivam operu). Jedine ze by utocny program vylupil ten master password kdesi v pamati, ked si ho uz zadal (a ma ho prehliadac zapamatany apod). Je to ale dost obtiazne ak nie nemozne.
pamatuješ můj příspěvek na uchopení klíče tc?- zmrazili ram i ze saltem a šoupli jí jinam- očůrali to
. v případě pantofla bych spolehnul na klasickou dubovou palici.
Zahesluj si Bios alebo OS, aby sa ti v spustenom PC ponad tvoje rameno nehrabali okoloidúci bezďáci.
Ale tohle neřeší nic.
Mně jde o to, když už ke svému PC někoho pustím, tak aby nezískal ty hesla z přihlašovacích formulářů tímto jednoduchým úkonem(do 10 vteřin hotovo i s návratem do původního stavu)
Právě proto se ptám, jestli je to takto ve všech prohlížečích (nebo prostě jiná jednoduchá finta např. na IE), nebo ty hesla prostě neukládat (myslel jsem, že jsou nějak šifrovaná, ale nejsou)
Ve všech prohlížečích jdou ta hesla lehce přečíst.
Tak díky,
píšu si - hesla nenechat ukládat
Tak to je snad zásadní bezpečnostní pravidlo. A rozhodně neplatí jenom u prohlížečů. Cokoliv je uložené, tak jde nějakým způsobem přečíst.
Tak normální snad je mít na počítači oddělené uživatelské účty a pak neřešit takové kraviny.
Pánové čtěte a nevymýšlejte scénaře oddělených účtů apod., já samozřejmě mluvím o zabezpečeném PC, ke kterému nemá nikdo trvalý přístup, to že ho někomu na "chvíli" propůjčím je přece něco jiného (teď už ale NE) - nemyslím, že by někdo takhle přišel k mému PC a nabootoval nějaké liveCD a začal páčit hesla, ale tady jde fakt o operaci na pár vteřin a myslím, že je to CHYBA! Je to jako polemizovat o zámku na bytu - máte všichni odolný proti kladívkování? Opravdu? A proti Výbušnině? Ne, tady se bavíme o otevřených dveřích...
O nějakém zabezpečeném PC píšeš až teď (a to ještě hodně teoretizuješ, protože k "zabezpečenému PC" nepustím "někoho na chvíli"). Nevím jakou verzi Chromáka používáš, ale mi se tam pomocí "Zkontrolovat prvek" žádné heslo nezobrazuje.
No a víš co tam máš na co změnit?
Nerozumím, na co se teď dotazuješ. Nic jsem nenastavoval.
Dotazuji se na to, jestli víš, jak to zobrazení hesla docílit
Zobrazit neuložené heslo nelze. Pokud je heslo uložené, nedá se vyčíst z formuláře pomocí "Zkontrolovat prvek" (alespoň u mě).
Uložená hesla se dají lehce zobrazit ve Správci hesel.
Ale dá, stačí změnit input type na text.
Ano - takhle to funguje. Jde to i ve Firefoxu.
Jak tvrdím, když chci k pc někoho pustit, přepnu ho na účet Host.
Nicméně s tím správcem hesel to není taky úplně OK
To jako když se chci někam automaticky přihlásit = dávám heslo všem, kteří mají (i velmi krátkodobý) přístup k PC (řeším teď přístup normálních lidí - ne hackerů, v podstatě se nejedná o žádné prolomení překážky)
Psal jsem o konkrétní "chybě" - to že se na to začaly nabalovat širší a širší (zbytečné) otázky je věc druhá
Musíš si z toho elementu získat atribut value. Pokud má id, tak queryselector('#id').value, pokud ne ,tak mu dočasně id přiřadit, nebo jiným způsobem.
Asi už tě začínám chápat
=
hlavne (jestli se nepletu), tak ve chvili, kdy se ti nekde zobrazi Zadejte heslo:****** tak to vstupni policko ***** to heslo obsahuje a jen "blbe zobrazuje" a da se jeho hodnota precist cimkoli, co zobrazi vlastnosti prvku na obrazovce - takze pokud pustis jen trochu znalejsiho uzivatele te svemu stroji a mas hesla ulozena, tak nejen ze se ti muze kamkoli nahlasit (coz jak povidas ti az tak nevadi), ale taky ta hesla zjistit.
Takze neukladat hesla.
Však o tom právě píše.
o tom to sakra je. určo se vytasíš i s wiresharkem u http. win/profil/čau admin/ nedovolím
Akekolvek zapamatane heslo je mozne zistit, ptz ak to vie precitat prehliadac, tak to vie precitat ktokolvek. Keby to nemohol precitat ktokolvek, tak to nemoze precitat ani prehliadac.
Clovek ktory uvazuje ma nastavene nezapamatavat.
(robim to tak vzdy a nechapem preco dementni vyrobcovia prehliadacov davaju default na zapamatavat. Asi na objednavku od NSA :)
Pouzitelne riesenie je pouzivat nejaky SW co spristupni ulozene hesla az po zadani master hesla. Ale aj tam to moze byt implementovane nahovno, je to ale principialne bezpecnejsie