Quali modelli di minacce e attacchi attualmente noti contro gestori di password online e / o offline esistono, che non si basano su CSRF, XSS o comportamento di riempimento automatico?
Ho trovato due pubblicazioni da usenix.org qui e qui che mostrano una spiegazione dettagliata dei casi sopra menzionati.
Apprezzerei le risposte, basate sulla ricerca attuale sui gestori di password comunemente utilizzati (indipendentemente dal sistema operativo). Il modello o l'attacco di minaccia può utilizzare CSRF, XSS o riempimento automatico, ma non deve essere il vettore di attacco principale o utilizzare un approccio completamente diverso di questi, rispetto ai documenti collegati.
Sono aperto a tutti i suggerimenti, inclusa l'autopromozione della ricerca. Questa domanda non ha lo scopo di consentire la ricerca di pubblicazioni, ma solo di risposte nel caso in cui già conosci tali attacchi e desideri condividere queste informazioni.