LastPass è un gestore di password di alto livello che viene fornito come estensione per il browser e utilizza una password principale per crittografare e decrittografare il database delle password utilizzando JavaScript. È un modo sicuro di fare? Questo approccio non è vulnerabile a qualsiasi attacco basato sul web? Quali possono essere i vettori di attacco da prendere in considerazione mentre si eseguono le operazioni di crypt usando JavaScript?
Lasspass è un plugin per il browser e non è vulnerabile agli attacchi MITM ai suoi javascript come avviene per un sito web. Le risorse del plugin non sono installate nello stesso modo in cui un sito Web richiede i suoi file javascript tramite richieste http.
Javascript non è intrinsecamente più vulnerabile ad attacchi diversi dalla natura con cui il codice viene richiesto e caricato. (MITM)
Può tuttavia essere notevolmente più lento del codice nativo (Internet Explorer), ma può anche essere notevolmente più veloce delle implementazioni di codice nativo (motore V8 di Chrome).
Dal login del sito Web di LastPass, il certificato HTTPS valido autentica le risorse caricate dal browser. L'autenticità del certificato può essere confermata guardando a sinistra dell'indirizzo del sito Web nella parte superiore della finestra.
La stessa politica di origine insieme a SSL impedisce agli iframe malintenzionati di dirottare qualsiasi risorsa javascript che può essere caricata nel frame secondario.
Leggi altre domande sui tag attacks browser-extensions attack-vector