ОРФографическое
   Улучшение
    Сайтов|
Orphus community
Orphus Community
Orphus community forum.
 

Баг (или полубаг) с обработкой полей ввода пароля (Владимир Коэн-Цедек)
Автор Сообщение
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Сб Июн 18, 2005 9:18 pm (написано за 2 минуты 16 секунд)
   Заголовок сообщения: Баг (или полубаг) с обработкой полей ввода пароля
   Ответить с цитатой

Как известно, если на странице есть <input type=password>, то он должен прятать пароль всеми возможными способами. Так, он не только заменяет введенные символы на звездочки, но и не дает сделать Copy. Однако если на той же странице стоит Орфус, то можно выделить текст в таком поле, нажать Ctrl-Enter и увидеть пароль на экране! Не буду перечислять ситуации, в которых это может оказаться нехорошо.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Дмитрий Котеров
Заглянувший



Зарегистрирован: 01.01.1970
Сообщ.: 5
Карма: 8
   поощрить/наказать


СообщениеДобавлено: Пн Июн 20, 2005 5:51 pm (спустя 1 день 20 часов 33 минуты; написано за 18 секунд)
   Заголовок сообщения:
   Ответить с цитатой

М-да...
А что поделать? К сожалунию, так уж работают браузеры...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Пн Июн 20, 2005 8:46 pm (спустя 2 часа 54 минуты; написано за 37 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек
В общем, это нужно обращаться не к Диме Котерову, а выше - к разработчикам движков браузеров, чтобы они запретили чтение паролей с помощью ЯваСкрипта.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Ср Июн 22, 2005 9:39 pm (спустя 2 дня 53 минуты; написано за 1 минуту 26 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Я думаю, что на уровне Орфуса можно хотя бы добавить проверку: если данный текст является значением пароля, то не показывать его на экране (и не посылать по мейлу) в открытом виде. Если хотите, я попробую сделать такую добавку к скрипту Орфуса.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Дмитрий Котеров
Заглянувший



Зарегистрирован: 01.01.1970
Сообщ.: 5
Карма: 8
   поощрить/наказать


СообщениеДобавлено: Пт Июн 24, 2005 11:17 am (спустя 1 день 13 часов 37 минут; написано за 18 секунд)
   Заголовок сообщения:
   Ответить с цитатой

А как Вы определите, что текст является значением пароля? Он же через объект selection браузера получается.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Дмитрий Котеров
Заглянувший



Зарегистрирован: 01.01.1970
Сообщ.: 5
Карма: 8
   поощрить/наказать


СообщениеДобавлено: Пт Июн 24, 2005 11:17 am (спустя 49 секунд; написано за 48 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Мне кажется, все же проблема больше надуманна. Пользователь ведь видит, что он посылает по почте. И послать он может только свой собственный пароль (чужой так подсмотреть нельзя), да и то - ему покажется его пароль в окне.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Пт Июн 24, 2005 3:49 pm (спустя 4 часа 31 минуту; написано за 5 минут 20 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Дмитрий Котеров писал(а):
А как Вы определите, что текст является значением пароля? Он же через объект selection браузера получается.
Пока не знаю. Надеюсь, что можно как-то получить доступ не только к тексту, но и к тем элементам экрана, из значений которых он состоит.
Дмитрий Котеров писал(а):
Мне кажется, все же проблема больше надуманна. Пользователь ведь видит, что он посылает по почте.
Дело-то не в этом. Потому что:
Дмитрий Котеров писал(а):
И послать он может только свой собственный пароль (чужой так подсмотреть нельзя), да и то - ему покажется его пароль в окне.
Не задумывались ли Вы, почему в полях ввода пароля заблокирована команда Copy? Я полагаю, что речь о ситуациях, когда один человек заполняет пароль (или даже пароль берется из cookies, как при входе на многие почтовые сайты), а другой стоит у него за плечом. Именно на этот случай пароль заменяется на звездочки, и на этот же случай заблокировано Copy (если первый человек на минуту отошел от компьютера). На этот же случай нужно (бы) заблокировать показ пароля через alert и отправку его куда бы то ни было по почте.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Пт Июн 24, 2005 10:02 pm (спустя 6 часов 12 минут; написано за 1 минуту 2 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек
Короче говоря, такая ситуация возникает крайне редко, и к тому же, вряд ли этот человек, который стоит за спиной, догадается нажать Ctrl+Enter. Скорее вирусов наловит кучу, чем это
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Сб Июн 25, 2005 10:58 pm (спустя 1 день 56 минут; написано за 1 минуту 54 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов писал(а):
Владимир Коэн-Цедек
Короче говоря, такая ситуация возникает крайне редко, и к тому же, вряд ли этот человек, который стоит за спиной, догадается...
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Дмитрий Котеров
Заглянувший



Зарегистрирован: 01.01.1970
Сообщ.: 5
Карма: 8
   поощрить/наказать


СообщениеДобавлено: Вс Июн 26, 2005 1:21 pm (спустя 14 часов 23 минуты; написано за 7 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек писал(а):
или даже пароль берется из cookies, как при входе на многие почтовые сайты
В этом случае всегда можно сделать view source, и там пароль покажется.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Вс Июн 26, 2005 2:28 pm (спустя 1 час 6 минут; написано за 7 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Дмитрий Котеров писал(а):
Владимир Коэн-Цедек писал(а):
или даже пароль берется из cookies, как при входе на многие почтовые сайты
В этом случае всегда можно сделать view source, и там пароль покажется.
Это неверно. Пароль ведь вставляется не на сервере.

Я сейчас проверил и увидел вот что:
<input type=password class=long size=6 name=Password tabindex=3 value=**********>
Так что ничего не показывается.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Дмитрий Котеров
Заглянувший



Зарегистрирован: 01.01.1970
Сообщ.: 5
Карма: 8
   поощрить/наказать


СообщениеДобавлено: Вс Июн 26, 2005 2:56 pm (спустя 27 минут; написано за 4 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Какой браузер?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Вс Июн 26, 2005 6:25 pm (спустя 3 часа 28 минут; написано за 40 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек писал(а):
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом.
Когда речь идёт о глупостях, высасываемых из пальца, то вполне являются. Надо лишь понять, что это глупость. Используя такие аргументы можно это показать.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Вс Июн 26, 2005 8:49 pm (спустя 2 часа 24 минуты; написано за 14 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Дмитрий Котеров писал(а):
Какой браузер?
IE 6.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Вс Июн 26, 2005 8:51 pm (спустя 1 минуту 53 секунды; написано за 2 минуты 6 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов писал(а):
Владимир Коэн-Цедек писал(а):
Простите, но когда речь идет о секьюрити, то такие утверждения не являются аргументом.
Когда речь идёт о глупостях, высасываемых из пальца, то вполне являются. Надо лишь понять, что это глупость. Используя такие аргументы можно это показать.
:^))) Хорошие аргументы, однако. "Я в реальность воров не верю, следовательно бред об их существовании является глупостью". Что же, продолжайте не верить. Лично я все-таки буду их остерегаться.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Вс Июн 26, 2005 9:25 pm (спустя 33 минуты; написано за 1 минуту 15 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек писал(а):
Что же, продолжайте не верить. Лично я все-таки буду их остерегаться.
Есть тысячи способов узнать этот пароль, вплоть до того, что например в Mozilla Firefox в расширении Web Developer есть функция «Показать все пароли». Вы тоже эту возможность попросите разработчиков убрать?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Вс Июн 26, 2005 9:38 pm (спустя 12 минут; написано за 1 минуту 52 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов писал(а):
Вы тоже эту возможность попросите разработчиков убрать?
Да. Я считаю, что одной маленькой дырки в заборе достаточно, чтобы свести на нет все усилия по возведению забора.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Пн Июн 27, 2005 10:21 pm (спустя 1 день 43 минуты; написано за 52 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек писал(а):
Да. Я считаю, что одной маленькой дырки в заборе достаточно, чтобы свести на нет все усилия по возведению забора.
Это конечно правильно, вот только этих дырок так много, что заткнуть все Вы всё равно не сможете. Потому что это называется параноя.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Maus
Модератор



Зарегистрирован: 29.06.2003
Сообщ.: 6918
Карма: 216
   поощрить/наказать

Откуда: пос. Омсукчан Магаданской области

СообщениеДобавлено: Пн Июн 27, 2005 10:26 pm (спустя 4 минуты; написано за 49 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов
Я бы даже сказал ,что (в данном случае) и забора никакого нет. Так, оптический обман...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Пн Июн 27, 2005 10:30 pm (спустя 3 минуты; написано за 30 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Maus
Ну, вернее, забор-то есть, но в основном очень трухлявый и еле-еле стоящий на ногах :)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Пн Июн 27, 2005 10:42 pm (спустя 12 минут; написано за 1 минуту 25 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов писал(а):
Потому что это называется параноя.
У Ноя не было пары.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
bæv
Модератор «Дзена»



Зарегистрирован: 27.08.2003
Сообщ.: 4151
Карма: 100
   поощрить/наказать


СообщениеДобавлено: Вт Июн 28, 2005 2:45 am (спустя 4 часа 3 минуты; написано за 1 минуту 22 секунды)
   Заголовок сообщения:
   Ответить с цитатой

Владимир Коэн-Цедек писал(а):
У Ноя не было пары.
-- разве?
Вообще, я, вроде, понимаю на что намёк...

Юpий Насрeтдинов: параноЙя
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Юрий Насретдинов
Модератор



Зарегистрирован: 13.03.2003
Сообщ.: 7793
Карма: 184
   поощрить/наказать

Откуда: 007 495

СообщениеДобавлено: Вт Июн 28, 2005 8:15 pm (спустя 17 часов 30 минут; написано за 31 секунду)
   Заголовок сообщения:
   Ответить с цитатой

bæv писал(а):
параноЙя
Спасибо :). Честно говоря, не привык проверять свои сообщения в Word'е по одной простой причине - обычно орфорграфических ошибок я делаю очень мало :).
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Владимир Коэн-Цедек
Участник форума



Зарегистрирован: 26.09.2004
Сообщ.: 182
Карма: 1
   поощрить/наказать

Откуда: с исторической родины

СообщениеДобавлено: Вт Июн 28, 2005 8:18 pm (спустя 2 минуты; написано за 1 минуту 11 секунд)
   Заголовок сообщения:
   Ответить с цитатой

Юpий Насрeтдинов писал(а):
bæv писал(а):
параноЙя
Спасибо :). Честно говоря, не привык проверять свои сообщения в Word'е по одной простой причине - обычно орфорграфических ошибок я делаю очень мало :).
А вот теперь я начну огрызаться за то, что меня обозвали параноиком... Ладно, не буду. :^)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начaть нoвую тeму   Ответить на тему Часовой пояс: GMT + 4 (Москва, Лето)
Страница 1 из 1    Отправить ссылку другу
Вы не можете начинать темы. Вы не можете отвечать на сообщения. Вы не можете редактировать свои сообщения. Вы не можете удалять свои сообщения. Вы не можете голосовать в опросах. Вы можете отправлять сообщение модераторам. Вы не можете прилагать файлы к сообщениям. Вы можете скачивать файлы.
Расчет стоимости натяжного потолка. . накрутка лайков и репостов Вконтакте . Электрооборудование emas.