• はてなブックマーク
  • テクノロジー
  • ウェブブラウザのパスワードマネージャーにユーザー情報を盗み出される脆弱性
  • Twitterでシェア
  • Facebookでシェア

ウェブブラウザのパスワードマネージャーにユーザー情報を盗み出される脆弱性

テクノロジー カテゴリーの変更を依頼 記事元:gigazine.net
適切な情報に変更
188 usersがブックマーク コメント27

    記事へのコメント27

    • 注目コメント
    • 新着コメント
    ockeghem
    ockeghem これ、パスワードマネージャーの脆弱性というより、広告業者の犯罪行為というべきでは? 広告用JavaScriptは広告掲載のサイトでは強い権限を持つわけで

    2018/01/03 リンク

    その他
    fashi
    fashi これ前にも見た気がするけど対策出来てないってことなんかな。まあ「同じウェブサイト(ドメイン)上で、第三者による追跡スクリプトが仕込まれ」てる時点で終わってるか

    2018/01/03 リンク

    その他
    lbtmplz
    lbtmplz 仕込まれている時点でなんでも出来るのでは

    2018/01/03 リンク

    その他
    pmakino
    pmakino 「同じウェブサイト(ドメイン)上で、第三者による追跡スクリプトが仕込まれた別のページを開くと」が条件満たすの厳しいんじゃないかと一瞬思ったものの、広告事業者なら簡単に満たせるわけか。アカン

    2018/01/03 リンク

    その他
    azzr
    azzr ブラウザというよりサイトの脆弱性。攻撃者がサイトと同じオリジンでスクリプトを実行できるなら、パスワードを含む任意の情報は漏洩しうる。

    2018/01/03 リンク

    その他
    rryu
    rryu 広告等の計測タグを埋め込むと、それがユーザーの識別子を得るためにオートコンプリートを悪用してメールアドレス等を抜いてくるという話。こういうものの信頼性はどう確保すればいいのだろう。

    2018/01/03 リンク

    その他
    bouzuya
    bouzuya この前に流れてきてたやつか。そも同一ドメイン扱いで動くならやりたい放題じゃないのか。

    2018/01/04 リンク

    その他
    letsspeak
    letsspeak 復元可能な鍵を端末に保存してはいけない

    2018/01/04 リンク

    その他
    suika3417
    suika3417 広告にスプリクト仕込むのいい加減にしろ

    2018/01/05 リンク

    その他
    kibitaki
    kibitaki 広告スクリプトは防ぎにくいのだが、AdBlockerは壁になる。そして広告業者はこぞってGTMを使えと言ってくる。でもこれをサイトの脆弱性とか言うのはトンチキ。

    2018/01/04 リンク

    その他
    mas-higa
    mas-higa パスワードの自動入力は不安を感じるのでやってなかった。

    2018/01/04 リンク

    その他
    gabill
    gabill もう今のWeb広告の仕組み自体が巨大なセキュリティホールなんじゃ。

    2018/01/04 リンク

    その他
    raitu
    raitu 同じドメイン上で、第三者による追跡スクリプトが仕込まれた別のページを開くとブラウザ保存パスワードがぬかれるという話。広告業者が閲覧者ID抜くためにやってる疑惑が掛かってる

    2018/01/04 リンク

    その他
    rinsuki
    rinsuki オッと思ったがそもそも悪意のあるコードが含まれるかもしれないJavaScriptが同originで動いてる時点で...

    2018/01/04 リンク

    その他
    takc923
    takc923 元記事(hackernewsの方)読んだけど、XSSでid/passwordが窃取されるのは何年も前から知られてて、今回わかったのはユーザトラッキング用スクリプトがid(email)をハッシュ化して取得して、ユーザの追跡してるってことだった。

    2018/01/04 リンク

    その他
    arajin
    arajin “簡単な対策としては、まずはブラウザのパスワードマネージャーに信頼できないサイトのログイン情報を保存しないことです。”

    2018/01/04 リンク

    その他
    itochan
    itochan タイトルが変。

    2018/01/04 リンク

    その他
    lli
    lli 対策難しいな

    2018/01/04 リンク

    その他
    fne8
    fne8 こわいわ〜

    2018/01/04 リンク

    その他
    letsspeak
    letsspeak 復元可能な鍵を端末に保存してはいけない

    2018/01/04 リンク

    その他
    homarara
    homarara id:osakana110 そこまでされんでも、XSSで可能な攻撃だね。中小企業のお手製ショッピングサイトなんかで、掲示板的な「第三者が書いた内容を表示する機能」を持ってるやつなら危ないかもしれん。

    2018/01/04 リンク

    その他
    osakana110
    osakana110 要は、観覧先のサイト(同一ドメイン内)がクラッキングされてるわけでしょ? やりたい放題じゃん

    2018/01/04 リンク

    その他
    bouzuya
    bouzuya この前に流れてきてたやつか。そも同一ドメイン扱いで動くならやりたい放題じゃないのか。

    2018/01/04 リンク

    その他
    karkwind
    karkwind 新年早々、疲れるニュースが満載だなぁorz

    2018/01/03 リンク

    その他
    diveintounlimit
    diveintounlimit なるほど考えたもんだね

    2018/01/03 リンク

    その他
    azzr
    azzr ブラウザというよりサイトの脆弱性。攻撃者がサイトと同じオリジンでスクリプトを実行できるなら、パスワードを含む任意の情報は漏洩しうる。

    2018/01/03 リンク

    その他
    ya--mada
    ya--mada 不可視のフォームについては何年か前にも指摘が有ったけどな。ソース読めってか。

    2018/01/03 リンク

    その他
    lbtmplz
    lbtmplz 仕込まれている時点でなんでも出来るのでは

    2018/01/03 リンク

    その他
    igrep
    igrep うーん、KeePassHttp使ってても回避は難しそう。。。

    2018/01/03 リンク

    その他
    ockeghem
    ockeghem これ、パスワードマネージャーの脆弱性というより、広告業者の犯罪行為というべきでは? 広告用JavaScriptは広告掲載のサイトでは強い権限を持つわけで

    2018/01/03 リンク

    その他
    pmakino
    pmakino 「同じウェブサイト(ドメイン)上で、第三者による追跡スクリプトが仕込まれた別のページを開くと」が条件満たすの厳しいんじゃないかと一瞬思ったものの、広告事業者なら簡単に満たせるわけか。アカン

    2018/01/03 リンク

    その他
    rryu
    rryu 広告等の計測タグを埋め込むと、それがユーザーの識別子を得るためにオートコンプリートを悪用してメールアドレス等を抜いてくるという話。こういうものの信頼性はどう確保すればいいのだろう。

    2018/01/03 リンク

    その他
    fashi
    fashi これ前にも見た気がするけど対策出来てないってことなんかな。まあ「同じウェブサイト(ドメイン)上で、第三者による追跡スクリプトが仕込まれ」てる時点で終わってるか

    2018/01/03 リンク

    その他
    nminoru
    nminoru こういうテクニックが発明されるのを見る度に、人間の想像力に限界なんてないという気にさせられる。

    2018/01/03 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ウェブブラウザのパスワードマネージャーにユーザー情報を盗み出される脆弱性

    ウェブブラウザにはユーザーの利便性を考慮して、ウェブサイトやウェブサービスのログインIDとパスワー...

    ブックマークしたユーザー

    • mjtai2018/01/06 mjtai
    • sawarabi01302018/01/06 sawarabi0130
    • m-mamitasu2018/01/05 m-mamitasu
    • TERMINATOR_T8002018/01/05 TERMINATOR_T800
    • Exocet2018/01/05 Exocet
    • suika34172018/01/05 suika3417
    • kokkokekko262018/01/05 kokkokekko26
    • alphabet_h2018/01/05 alphabet_h
    • tokada2018/01/05 tokada
    • kibitaki2018/01/04 kibitaki
    • khtokage2018/01/04 khtokage
    • bibo-_-062018/01/04 bibo-_-06
    • kmitsu2018/01/04 kmitsu
    • mas-higa2018/01/04 mas-higa
    • tg30yen2018/01/04 tg30yen
    • yokochin_htb2018/01/04 yokochin_htb
    • minamijoyo2018/01/04 minamijoyo
    • flyingbird12018/01/04 flyingbird1
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.