| Автор |
Сообщение |
Implode Sch ®
RG Soft
Стаж: 13 лет 7 мес.
Сообщений: 8646
Ratio: 109.724
Поблагодарили: 589269
100%
|
Исследователь безопасности компании CyberArk Зеев Бен Порат (англ. Zeev Ben Porat) обнаружил, что пароли и файлы cookie можно извлечь из памяти даже без повышенных прав. Многие пользователи уделяют внимание безопасности своих устройств и, в частности, безопасности интернет браузеров. В ход идёт множество средств, но всё может быть напрасно, если программа с вредоносным кодом будет запущена в системе из-под учётной записи пользователя. Злоумышленнику не нужен физический доступ и даже повышенные права, он может украсть базы данных браузера и извлечь информацию оттуда, некоторые браузеры шифруют базы, но, если вредоносный код выполняется из-под учётной записи пользователя, ключ шифрования тоже можно заполучить. Как оказалось, существует ещё один способ, и он может быть даже проще. Исследователь безопасности компании CyberArk Зеев Бен Порат (англ. Zeev Ben Porat) обнаружил, что браузеры хранят в памяти конфиденциальные данные в открытом виде, сообщает ресурс gHacks и автор блога Borncity. Пароли и сеансовые файлы cookie находятся в памяти в виде обычного текста. Первоначально это открытие было сделано в браузере Chrome, но похоже, что затронуты все браузеры на основе Chromium, а также Mozilla Firefox. Извлечь данные может любой процесс с доступом к памяти Chrome через API OpenProcess и ReadProcessMemory, повышенные права не нужны. Кроме паролей и cookie-файлов текущих сеансов, в память можно загрузить все пароли из диспетчера паролей. Исследователь уведомил об этом разработчиков Google, однако исправлять ситуацию не будут, поскольку физические локальные атаки рассматриваются вне модели угроз Chrome, защититься невозможно, если злоумышленник хозяйничает в системе от имени пользователя. Авторы ресурсов проверили эту информацию и действительно смогли получить доступ к своим паролям с помощью утилиты ProcessHacker, с cookie файлами ситуация сложнее, похоже над их дополнительной защитой всё таки работают, ведь при краже cookie файла не защитит даже многофакторная аутентификация. Остаётся очень серьёзно относиться к тому, что вы скачиваете и устанавливаете на свой компьютер. Стоит ознакомиться со статьей специалиста в блоге CyberArk, для продвинутых пользователей там описаны методы защиты.
|
_________________
WIN11/23H2(22631)Pro |
|
 |
dmitriy1975
Стаж: 14 лет 3 мес.
Сообщений: 1445
Ratio: 1.06
100%
Откуда: Moscow
|
delfad писал(а):  | для безопасности достаточно пользоваться браузером который будет стирать всю активность после её закрытия и не создавать базу данных из логов, паролей, кукисов и кеша, например Firefox так умеет делать.
|
Это Firefox сказал, что он так умеет делать? Не факт, что любая программа все не отсылает куда надо или не хранит пока не понадобится. Просто иы не нужны, да олигархи нужны не все в один момент. Но в какой-то можно перекрыть все: счета, пароли и т.д. |
|
|
|
|
flamasterr
Стаж: 16 лет 5 мес.
Сообщений: 409
Ratio: 2.203
Раздал: 1.773 TB
100%
Откуда: Оттуда
|
|
|
|
kx77
Стаж: 12 лет 2 мес.
Сообщений: 1739
Ratio: 125.195
Поблагодарили: 2420
100%
|
Браво, открыли фундаментальное свойство модели безопасности
Процессы, выполняющиеся в одном контексте, могут иметь доступ друг к другу
Нет иных способов защититься, кроме как разделение секурити контекстов
То есть запускать броузер под правами другого юзера (runas в помощь) и долго думать, прежде чем соглашаться на запрос повышение привилегий до администратора. Или для параноиков добро пожаловать в виртуалку |
|
|
|
|
Last_Human
Стаж: 14 лет 8 мес.
Сообщений: 22
Ratio: 21.701
100%
|
Я тоже эксперт, и делаю сенсационное заявление: если получить доступ к компьютеру пользователя, можно не только пароли своровать, но и много других "интересных" дел натворить  |
|
|
|
|
growol
Стаж: 2 года 9 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
Last_Human
это конечно, но дело в том, что это можно сделать под обычным пользователем каким-нибудь завуалированным скриптом питона. Многое происходит на компьютере обычных пользвателей о чем они не догадываются и бьют себя в грудь "я настроил непробиваемую систему" |
|
|
|
|
V.A.
Стаж: 14 лет 10 мес.
Сообщений: 2292
Ratio: 348.084
Поблагодарили: 440
100%
Откуда: Новосибирск
|
Браузеры вообще борзыми стали в последнее время (оборзевшие браузеры), и всё он за вас сделает, парольки сохранить предложит (для тебя и себя))), данные запомнит-автозаполнит, ну мечта домохозяйки! Сайты туда же - все помешались на куках, дай хоть один кук установлю, а? А можно еще, совсем маленький? Не желаешь включить мои уведомления о новых уведомлениях? Сделать Яндекс стартовой страницей в тысяча триста восемнадцатый раз и разрешить колокольчик, чтоб ты на него жал?  |
|
|
|
|
infiniti78
Стаж: 13 лет 7 мес.
Сообщений: 914
Ratio: 65.043
Раздал: 69.48 TB
Поблагодарили: 409
100%
Откуда: Фурманов
|
| delfad писал(а): | еобязательно такие сложности, для безопасности достаточно пользоваться браузером который будет стирать всю активность после её закрытия и не создавать базу данных из логов, паролей, кукисов и кеша, например Firefox так умеет делать. А пароли можно держать в голове, сложные пароли держать ещё проще ассоциировав их с определенными событиями типа "Машина ехала в кафе в 9 утра забрал заказ и вернулся домов в 12" в переводе на пароль выходит MEvK9YZzVdv12. Такой подход эффективен против угона баз данных с паролями потому что не сохраняются в определенном файле, к тому же можно поставить на папку с браузером атрибут только чтение в таком случае никакие логи или ещё какой то мусор сохраняться и записываться от браузера не будет. А так же можно блочить те куки которые не нужны сайту типа аналитики. Но конечно каждый раз авторизоваться на определенном сайте будет надоедать, но со временем можно привыкнуть)) |
бред какой))) |
|
|
|
|
V.A.
Стаж: 14 лет 10 мес.
Сообщений: 2292
Ratio: 348.084
Поблагодарили: 440
100%
Откуда: Новосибирск
|
| delfad писал(а): | сложные пароли держать ещё проще ассоциировав их с определенными событиями типа "Машина ехала в кафе в 9 утра забрал заказ и вернулся домов в 12" в переводе на пароль выходит MEvK9YZzVdv12. |
А я тоже пароль придумал: "Я еду быстро, а на улице туман и индейцы". Можно делать наколки-пароли, на руках и лице, на ягодницах - вместо кочегара, благо счас крайне модно, пометить себя какой-нибудь плохо разбираемой, пестрой мешаниной. Про обычную бумагу и ручку говорить не буду - это зашквар и пережиток времени. |
|
|
|
|
araick
Стаж: 15 лет 5 мес.
Сообщений: 981
Ratio: 2.648
99.53%
|
Новость очевидная и все о ней знают. |
|
|
|
|
growol
Стаж: 2 года 9 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
| Цитата: | "Я еду быстро, а на улице туман и индейцы". |
почти сценарий для вестерна. Не думал, что пароли могут быть такими увлекательными.) |
|
|
|
|
cinyv
Стаж: 3 года 5 мес.
Сообщений: 106
45.45%
|
Кому лень запоминать пароли (удивительно, как от кредитки не забыли), есть менеджеры паролей, которые могут генерировать случайный набор символов любой длины. Все, что надо запомнить - это пароль для менеджера. Базу данных паролей можно зашифровать и хранить например на флешке подальше от ПК. Главное, менеджер с открытым исходным кодом, желательно из проекта GNU.
p.s. а delfad дело говорил |
|
|
|
|
Romanukjr
Uploader 100+
Стаж: 15 лет 2 мес.
Сообщений: 1862
Ratio: 1821.488
Раздал: 429.2 TB
Поблагодарили: 16509
69.47%
Откуда: Москва
|
| V.A. писал(а): | А я тоже пароль придумал: "Я еду быстро, а на улице туман и индейцы". |
Не благодари: Ucl~S3#M4^hsG^rzU4%viOI3h@AMa#YDxa6CH*3tc&NGxg!Q2zpLA&q0F%vR~4KSig9DUia#9p#Ai4LYc%Uhm1Bx6Bi2&Coj5~p  |
_________________
|
|
|
|
growol
Стаж: 2 года 9 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
Romanukjr
omg... Даже боюсь спросить каком месте тут индейцы ) |
|
|
|
|
Psycho-A
Стаж: 11 лет 4 мес.
Сообщений: 379
Ratio: 2821.34
Поблагодарили: 2729
100%
|
| Andrey_Vladimirovich писал(а): | Какое количество пар логин-пароль вы помните и регулярно используете? |
Можно запомнить и использовать единую основу пароля для всех сайтов, а для каждого сайта добавлять свой суффикс, созданный по понятному тебе алгоритму. Например, назначение сайта + каждая вторая буква адреса справа-налево, переведённая в число. Суффикс, ясное дело, может быть какой угодно длины и сложности - но если помнить алгоритм, то проблема с запоминанием просто отпадает. |
|
|
|
|
savsoft
Стаж: 13 лет 9 мес.
Сообщений: 3166
Ratio: 1.151
35.99%
|
| cinyv писал(а): | Кому лень запоминать пароли (удивительно, как от кредитки не забыли), есть менеджеры паролей, которые могут генерировать случайный набор символов любой длины. Все, что надо запомнить - это пароль для менеджера. Базу данных паролей можно зашифровать и хранить например на флешке подальше от ПК. Главное, менеджер с открытым исходным кодом, желательно из проекта GNU.
p.s. а delfad дело говорил |
А пароль к менеджеру на наклейке приклеенной к флешке? |
|
|
|
|
|
|
