Mi piace l'idea dei gestori di password, ma mi sono reso conto del modo in cui interagiscono con i browser (specialmente con l'exploit recente "LostPass" ).
Oggi ho trovato che visualizzare una determinata pagina con "Evidenziare in modo prominente i campi non nascosti" in Burp, il page munging ha causato alcuni miglioramenti dell'interfaccia utente che hanno fatto apparire l'accesso LastPass quando fai clic su altri collegamenti nella pagina (in aggiunta a quando fai clic sull'asterisco nella casella della password. Mi ha fatto pensare che stavo per essere attaccato.
La domanda centrale è: cosa può fare un sito malevolo o infetto con questa capacità di avviare la finestra di dialogo LastPass?
Ecco uno screenshot che mostra la finestra di dialogo che appare dopo aver fatto clic sul collegamento degli occhiali da sole:
