Passord sendes i klartekst til loopback av 1Password


Re: Passord sendes i klartekst til loopback av 1Password

Innleggav Superhai » ons 09.03.2016 0:12

Jeg husker at Agilebits skrev om dette og utfordringen som "sandboxing" gir når appen skal snakke med browseren og hjelpe-tillegget. Det var i fjor en gang.

Jeg vil si at om noen klarer å sniffe på loopback, så har du allerede et alvorlig problem.
medlem i 86 måneder
 

Re: Passord sendes i klartekst til loopback av 1Password

Innleggav tiddylicious » ons 09.03.2016 16:57

Jeg vil si at om noen klarer å sniffe på loopback, så har du allerede et alvorlig problem.


Det har du rett i. Veldig overraskende problemstilling. Kan se for meg at dette kanskje kan bli mest skummelt i et flerbruker scenarie, hvor en ikke-administrator konto kan sniffe loopback. F. eks en skole med en litt slapp administrator, kan fort gi skumle bivirkninger.

Brukerens avatar
medlem i 120 måneder
 

Re: Passord sendes i klartekst til loopback av 1Password

Innleggav Kristin1814 » ons 09.03.2016 22:35

Jeg forstårr ikke all den kodingen som var på den siden du henvist til. Er det ikke sikkert/safe å bruke 1Password??

Er det tilgang fra nett du mener, eller andre som bruker maskinen med andre brukerkontoer som klarer å se dette?
Sist endret av Kristin1814 den tor 10.03.2016 10:05, endret 1 gang
medlem i 172 måneder
 

Re: Passord sendes i klartekst til loopback av 1Password

Innleggav tiddylicious » tor 10.03.2016 9:46

Som Superhai nevner, så må man i utgangspunktet ha fått til seg flere tilganger for å utnytte dette (og da er allerede maskinen utsatt), eller så er det mest aktuelt når det er flere brukere som benytter samme maskin og man ikke har helt kontroll / tillit til dem som benytter maskinen (tenk offentlig maskin, ukjente brukere). Selv ved sistnevnte scenarie er det ikke helt fritt frem å utnytte svakheten, men potensialet er der likevel.

Personlig så tenker jeg at du ikke trenger å bekymre deg enda, hold imidlertid utkikk etter oppdateringer for saken.

Koden på den siden demonstrerer forøvrig nøyaktig hva man må gjøre for å se passordene i klartekst / demonstrerer svakheten.

Håper det ga litt mer klarhet :-)

Brukerens avatar
medlem i 120 måneder
 

Re: Passord sendes i klartekst til loopback av 1Password

Innleggav Superhai » tor 10.03.2016 23:40

Det er i utgangspunktet ikke 1password som er utrygt men kommunikasjon med hjelpeprogrammet. Hvis du vil eliminere denne risikoen så slutter du å bruke hjelpeprogrammet og bruker heller kopier og lim inn fra 1password.

Som tiddylicious sier, du eller noen som kan administrere maskinen må positivt ha gitt tilgang til å gjøre dette. Så det vanlige gjelder, vær oppmerksom på alt du legger inn, spesielt om det spørres om ditt brukerpassord.

Loopback kommuniserer kun internt i maskinen (jeg vet dog ikke om man kan bruke "route add" for å rute via nettverkskortet på OSX — det vil i så tilfelle gjøre maskinen og nettverket treig siden mye IPC trafikk går over loopback) og dermed også lokal tilgang (fysisk eller over f.eks SSH). Malware som har fått administratortilgang kan samle inn via loopback og sende ut i verden.
medlem i 86 måneder
 


Returner til Programvare



Hvem er i Forumene

Registrerte brukere: Google [Bot]



cron