「リンクをクリックしてログイン名とパスワードを入力しても、何も起こりません」-Yandexブラウザ広告。 どのように機能しますか? この広告を見た後、パスワードの盗難などの解決が難しい問題をYandexがどのように「倒す」ことができるのか、私は確かに疑問に思いました。 Yandex Protectの機能の1つ、つまり「 パスワードの盗難に対する保護 」のみを検討したことに注意してください。
要するに、Yandexブラウザーのパスワード保護メカニズムの原則は、サーバーにフォームを送信する前に入力タイプ=「パスワード」フィールドの値をチェックすることにあります。 この時点で、このフィールドの値は、ブラウザーに保存されているパスワードの値と比較されます(Yandexからの情報に従って、パスワードハッシュが比較されます)。 一致するものが見つかると、警告がユーザーに表示されます。 この考え方は一般的に理解できますが、この方法の有効性は疑わしいです。
まず
この方法では、フィッシングサイトの作成者が確実に停止することはありませんが、ページ上のコードをアップグレードするだけで済みます。 多くのオプションがあります。 たとえば、別の入力タイプを使用するには、type = passwordのみをチェックし、入力フィールドにイベントハンドラーを配置し、スクリプトの内容を読み取り、値をバックグラウンドでサーバーに送信します。 実験として、送信前に知っていたアルゴリズムに従って入力タイプ=「パスワード」フィールドをアップグレードし、サーバーに復元しました。
第二に
Yandexブラウザに実装されたメソッドは、攻撃者に別の「ドア」を開きます。 この保護メカニズムが機能するため、ブラウザーは入力されたパスワードをブラウザーに保存されている攻撃者と比較するため、特別に準備されたスクリプトをサイトに配置するだけで、バックグラウンドでパスワードを列挙することが可能になります。 このようなスクリプトは、ユーザーから隠されたinput type = "password"フィールドに辞書のパスワードを入力し、保護がトリガーされることを予期してサーバーにフォームを送信することをエミュレートする必要があります。 保護がトリガーされ、パスワードが正しいことを示すインジケーターになります。 この方法には多くの欠点があります-多数のパスワードを検索するには、ユーザーは長期間悪意のあるサイトにいる必要があります。 どのリソースからパスワードが選択されているかはわかりません。 ユーザーが突然警告ウィンドウをポップアップして、警告する場合があります。 しかし、それはまだ不快な機能です。
まあ、第三に
私の意見では、最も不快な部分です。 このような広告は、ユーザーに誤ったセキュリティの感覚を植え付け、Yandexブラウザーユーザーのセキュリティレベルを本質的に低下させます。
Yandex Protectについて少し
All Articles