近期涉及LastPass浏览器插件使用存储的凭据处理实际的登录过程内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于LastPass浏览器插件使用存储的凭据处理实际的登录过程最新消息。
尽管基于云的密码管理服务很方便,但一位安全研究人员警告说,毕竟将密码放在云中可能不是最好的主意。
在Gawker漏洞泄露了在多个站点重复使用密码的人数之后,人们重新开始关注使用KeePass和LastPass等密码管理应用程序。
这些服务无需在Post-It上写下每个网站和程序的所有密码或将其保存为文本文件在计算机上,而是允许用户输入登录凭据并使用强主密码保护它们。
用户登录LastPass帐户,然后单击要登录的站点,LastPass浏览器插件使用存储的凭据处理实际的登录过程。但是,LastPass中存在跨站点脚本漏洞,攻击者可以利用该漏洞查看用户的电子邮件地址,密码提醒信息,与该用户关联的网站列表以及每个站点的登录历史记录,英国Mike Cardwell说的安全研究员。他说,登录历史包括登录的站点,登录尝试的时间和日期以及原始IP地址。
他说,尽管他没有获得“圣杯”来获取密码,但“我坚信这是可以做到的。”
根据LastPass博客,Cardwell将该漏洞通知了LastPass,该漏洞已在三个小时内修复了该漏洞。该公司表示,问题出在“我们针对这种特殊情况的测试程序中”。尽管对失败的案例感到“失望”,但该公司有信心所得到的修复将“在短期内带来更强大的产品”。
该公司声称,没有人成功地利用“发现者之外”的漏洞,并且没有影响客户数据。该公司写道,只有当用户访问了设置为利用该漏洞的恶意网站而仍登录到LastPass时,该漏洞才可能被利用。
卡德韦尔说,LastPass的客户应该“仍然非常担心”。他说:“我相信这最终将是他们的体系结构的问题,并且将来很容易再次发生。”
该公司解决了Cardwell的一些问题,例如实施HSTS(HTTP严格传输安全性)协议,以确保只要用户位于LastPass页面上,Chrome和Firefox便会保持SSL连接。卡德韦尔说,如果没有HSTS,中间人攻击有可能创建伪造的lastpass.com页面,并诱使浏览器使用iframe来获取该页面。
该公司表示,LastPass正在实施与CSP(内容安全政策)“非常相似的东西”。CSP由Mozilla开发,可让Web设计人员和管理员控制内容在网站上的显示方式。该公司表示,CSP是防御此类攻击的“一大进步”。
该公司还实施了X框架选项,这将使这种攻击更加难以利用,因为使用iFrame将LastPass页面嵌入到另一个页面中“是不可能的”。
LastPass建议,尽管已关闭了安全漏洞,但相关用户仍可以通过退出LastPass来保持安全,然后再访问具有可疑或成人相关内容的网站。
卡德韦尔说:“将您的密码管理工作外包给第三方可能本质上很危险。”