【悲報】GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告 [752644586]
■ このスレッドは過去ログ倉庫に格納されています
ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。
研究チームによると、今回特定された不具合は拡張機能がウェブページの内部コードにアクセスする方法に起因しているとのこと。多くのサイトは、HTMLなどで記述されたドキュメントをプログラムで操作できるようにするドキュメントオブジェクトモデル(DOM)という仕組みで動作していますが、拡張機能がこのDOMツリーに無制限にアクセスできてしまう問題により、ソースコード内にある機密データが容易に抜き出せるようになっていると研究チームは説明しています。
Googleは2023年に「マニフェスト V3」という仕様をChromeに導入し、拡張機能がアクセス可能な情報の種類に厳しい制限をかけましたが、マニフェスト V3は拡張機能とウェブページの間にセキュリティ境界をもうけていないため、問題の解消には至っていません。
研究チームは論文に「GoogleやAmazonなどの主要なオンラインマーケットプレイスは、クレジットカード入力フィールドに対していかなる保護も実装していません。これらのウェブサイトの規模と取引量を考慮すると、これらのウェブサイトが保護されていないことが特に懸念されます」と記しました。
https://gigazine.net/news/20230907-chrome-extensions-steal-passwords/ なんでDOMにパスワードが入ってんの?
「パスワードを表示」にした時? まぁそのHTMLを読めないとだめだし
セッションハック前提話じゃ ブラウザ拡張機能ってそのうちFLASHと同じく駆逐されるんだろうか これを厳密に規制するとサードパーティのブラウザ拡張機能そのものがなくなるし
諸刃の剣だね >>10
だな
そいつの真横にいてパスうったあとに席外したときを狙ってみたいな特殊なケース 知らん人用に書いてある保存て表現が嫌い
入力フィールドやなんかから一時格納されるのがDOMに平文ってだけだろ
はるか太古から連綿と続いてることで今更じゃない? 某携帯キャリア会社と契約後
絶対にどこにもそのメールアドレスで登録してないのに
その日のうちに山程反社のフィッシング詐欺メールが届き
速攻でメールが1000通(全部スパム)埋まった パソコンあんまり詳しくないんだけどパスワード忘れちゃってサイトのパスワード再送機能使ったら貴方の登録したパスワードこれですよってメールで教えてくれた
これやばいの? いつも思うけど、この手の脆弱性は、発見したら、
重要な政府や企業等に告知して、それらが対応してから、
発表して欲しい
クラッカーに情報を渡してるようなもんじゃん >>19
パスワード再送できるって事は平文でパスワードをDBに入れてるから意識低いヤバイサイト >>9
ユーザーがインプットフィールドにパスワードを入力した時じゃなお
機能拡張作ったことないけど、キーイベントとかからアクセスできるんでは しょっちゅうこんなんあるな
そらみんな情報抜かれるわけだわ >>23
それは厳密に言うと違うと思う
復元可能な暗号化でdbに保存しててもいい 大手企業や官公庁のソースの問題なの?
ぱっと見拡張機能の仕様とChromeウェブストアの審査の問題に見えるんだが >>26
ヤバ過ぎ🌿
復号できないソルト付きのSHA512程度でハッシュ化するのが当たり前 拡張機能のアクセスを特定の要素についてのみ拒否する方法ってあるのかな >>28
リアルタイムでパスワード、パスフレーズ送信すればいいんじゃがある 2chの1枚のテキストに全員のクレカ番号と期限とセキュリティコード書くような馬鹿じゃないだろ >>1
はあああああああああああああああああああああああああああああああああああああああああああああああああ😱 >>10
>>16
そういうレベルじゃ無い
Chrome拡張機能あるやろ
あれインスコしてると全部漏れるってこと
ダウンローダーとか何とか便利拡張機能装って
DOMからidパスワード引っこ抜けるぞ
俺もそんなの作ったことある
大学とかそこら辺のChromeに仕込むと
アカウント情報抜き放題なんや
かなり危険やで😾 >>24
DOMって明記してあるから理由はしらんけど
埋め込んであるんだろう🙀 やっぱ、ネットでクレカ使うもんじゃないな
プリペイド最強や >>36
クレカは100%保証されるからプリカより強くね 拡張機能で自動入力するパスワード抜けるってことやろ
まあ拡張機能使ってる奴がバカです >>38
プリカは変なサイトで使う分だけ決済切って残高0にして捨てるから保証は気にしない 個人開発の拡張機能はハッカーに買収されて悪意のあるコードが埋め込まれたりするから使うのは止めたほうがいい
検索すると個人開発者に数十万から数百万程度で買収を持ちかけてる例が山程でてくる インプットフィールドに入力中のを抜けるんやろ
拡張に悪意あったら終わりじゃん >>9
完全に適当に言うけど、パスワード保存したサイトにアクセスしたときに候補として出てくるドロップダウンリストの内容や候補が1つならそのまま入力される内容が平文で取得できるのでは? 読んだ感じだと入力した時にDOMに保存されてるから拡張が悪意を持っていたら入力した時に抜き取れるよってことね
拡張やユーザースクリプトを自作してたらわりと知ってる人多いでしょ サードパーティのパスワード管理を排除すれば簡単に対策できそうだけどな。 >>46
でもまあそれを受け入れてプラグインいれてるんだし
スマホのアプリの権限みたいなもんよ >>46
パスワードをDOMに平分で大手サイトでもいれてるっていうのが問題ってのもある >>34
えー広告やスクリプト止めて抜かれるかノーガードで広告やスクリプト受け入れるかの2択って事なら
uBlockとno scriptを信じるしか無いわ これってパスワードのinputのidがpasswordとしてコンソールでdocument.getElementById(’password’).valueってしたら入力したパスワードがでてくるから拡張機能も同じノリでパスワード抜けるって話じゃないの?
そりゃそうだろうけどサイト側で防ぎようがないでしょ >>50
> ・アマゾン:セキュリティコードを含むクレジットカード情報と郵便番号がページのソースコード上に平文形式で表示される
・Gmail(gmail.com):HTMLソースコード上に平文パスワードが保存されている
・Cloudflare(Cloudflare.com):同上
・Facebook(facebook.com):DOM API経由でユーザー入力を抽出可能
・シティバンク銀行(citibank.com):同上
・アメリカ内国歳入庁(irs.gov):社会保障番号(SSN)がウェブページのソースコード上に平文形式で表示される
ということだからAmazonとGmailはもっとひどいんじゃね ■ このスレッドは過去ログ倉庫に格納されています
