In che modo i gestori di password implementano l'integrazione sicura del browser? [chiuso]

Question

In che modo i gestori di password implementano l'integrazione sicura del browser? [chiuso]

#1 da (4 voti)

2

Alcuni gestori di password possono riempire automaticamente le password nel browser dell'utente. Ma affinché questo riempimento automatico sia sicuro, devono assicurarsi che inseriscano la password nel campo di input corretto, inoltre, le informazioni non sono trapelate al software di terze parti. Ecco alcune domande:

In che modo questi gestori di password identificano correttamente il campo di inserimento della password su una pagina Web? Può accadere che una pagina web contenga più campi di immissione della password. In che modo il gestore password sa quale deve essere compilato? Se inserisce la password nel campo sbagliato, è possibile che le informazioni siano trapelate (ad esempio da alcuni gestori di eventi JavaScript, anche se il modulo non è ancora stato inviato?
La maggior parte di questi gestori di password si presenta sotto forma di addon del browser. Il browser ha un meccanismo di sicurezza per impedire ad altri addon di accedere alle informazioni sulla password, prima (quando le informazioni sulla password nell'addon) e dopo (quando le informazioni sulla password nella pagina) sono state compilate?
Se esiste un vault della password locale, molto probabilmente è archiviato come file sul filesystem locale dell'utente. Poiché il gestore password può riempire la password in testo normale, il sistema locale dispone di informazioni sufficienti per recuperare la password, indipendentemente da ciò che è effettivamente memorizzato nel vault della password. Ma allora altri programmi sul sistema locale dell'utente non sarebbero in grado di recuperare la password?

web-browser password-management browser-extensions

posta Cyker 01.07.2018 - 18:15

fonte

1 risposta

Leggi altre domande sui tag web-browser password-management browser-extensions

La segregazione dei doveri è un requisito? Un'alternativa stateless semplicistica all'autenticazione di base HTTP per le API

score 4 · Accepted Answer

How do these password managers correctly identify the password input field on a web page?

I campi password contengono input type="password" nel codice HTML per il campo di input. Questo indica al browser e alle eventuali estensioni associate che input al campo devono essere considerate come sensibili. Questo è ciò che dice al browser di avvertirti se lo stai inviando tramite una connessione non crittografata, e anche cosa causa la sostituzione dell'ingresso con punti. Infatti, se modifichi il sorgente della pagina per rimuoverlo, noterai che i caratteri che digiti non sono più nascosti. Un'estensione del browser sarà in grado di accedere a queste informazioni (di solito è esposta nell'API di estensione) e la utilizza per determinare quali campi sono campi password.

Does the browser have any security mechanism to prevent other addons to access the password information, before and after it is filled in?

No. Qualsiasi altra estensione con permessi equivalenti avrà lo stesso identico accesso. Possono vedere esattamente cosa sta scrivendo il gestore delle password nel campo di input e potranno vedere la password che viene inviata. Tuttavia, non sarà in grado di leggere il database delle password da solo, poiché un'estensione non può leggere il database locale di un'altra estensione.

But then wouldn't other programs on the user's local system also be able to recover the password?

Sì, di solito. Mentre una password principale può essere utilizzata per crittografare queste password, un processo locale in esecuzione sotto lo stesso utente potrebbe facilmente dirottare il browser per leggere la chiave master la prossima volta che viene immesso. Questo perché lo scopo di un gestore di password è semplicemente quello di consentire l'utilizzo di password univoche per ciascun sito Web in modo da non rischiare di riutilizzare le stesse password ovunque. Potrebbero aggiungere funzionalità utili come la generazione automatica di password o la crittografia con una chiave master in modo che qualcuno che ruba il tuo computer non possa accedere ai tuoi siti, ma questo non è il loro scopo principale.

Un gestore password del browser è progettato per proteggere da alcune minacce, in particolare:

Un sito web dannoso o compromesso che può visualizzare la password che fornisci. Se usi la stessa password per quel sito come per molti altri siti, quel sito Web sarà in grado di impersonare te. Un gestore di password ti consente di generare e utilizzare senza problemi password sicure e uniche per ogni sito web su cui ti registri. Un gestore di password basato su browser semplifica l'integrazione con la tua esperienza di navigazione sul web.
Un utente malintenzionato che ottiene l'accesso offline al database del gestore di password, ad esempio un ladro di laptop. Se il gestore password utilizza una chiave di crittografia master, che la maggior parte fa, allora il ladro non sarà in grado di scoprire quali password si sta utilizzando. Se l'attaccante è un processo locale in esecuzione sulla stessa macchina, tutte le scommesse sono disattivate. I gestori di password non possono e non possono proteggere da tale minaccia.