GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告

ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。 [2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields https://arxiv.org/abs/2308.16321 Chrome extensions can steal plaintext passwords from websites https://www.bleepingcomputer.com/news/securi

[coppieee]

gigazineよくわからずに記事にしてるだろ。Gmailなどのサイトに問題があるわけじゃなく、拡張機能がパスワード入力画面の情報を取得できてしまうのが問題。

[amd64x64]

「HTMLソースコードに」と「動的なDOM上に」は違うので記事がおかしい。

[timetrain]

あー、パスワード入力画面に入力する際はプレーンテキストになってて、拡張機能がそれを読めてしまうということか。わかりにくい。拡張機能はよっぽど必要なもの以外入れちゃだめだな

[lainof]

Googleのは入力したパスワードがHTMLの属性にもリアルタイムで反映されるだけで保存方法とは関係ない話。

[nilab]

えっ “Gmail(gmail.com)：HTMLソースコード上に平文パスワードが保存されている”

[mugi_sisyou]

今更だな。アクセスできるサイトを指定するかクリックしないとアクセスできないようにしてる

[greenbow]

論文でも “HTML source code” って書いてるしソースコードで合ってるみたいよ。https://arxiv.org/abs/2308.16321

[Falky]

おい！GIGAZINEがよくわからずに記事書くのはここ15年以上ずっとだろ！いいかげんにしろ！

[ka-ka_xyz]

一行ごとに「？」が浮かんでくるというか、多分超訳してるでしょこれ感が

[tksgi]

記事からは読み取れないが、GmailのPW入力画面ではパスワードを入力するとHTMLのdata-initial-valueという属性に入力内容が平文で設定されてしまっているらしい。普通ならこんな挙動ないが、この属性を何に使っているのか謎

[ustam]

ブラウザはユーザーに最大の権限が与えられているツールだからなあ。自分で入力したパスワードにJavaScriptでアクセスできるのは当然では？　よくわからん拡張機能を入れるやつが悪い。

[akulog]

つまりユーザー自身が平文のパスワードをHash化して入力するようにしろと？

[laranjeiras]

ブラウザに記憶されたパスワードがブラウザによって動的に入力されるのではなく、スタティックにソースに埋め込まれてるように見える。だとするとパスワードが可逆暗号になってるのと合わせて二重にマズいのでは？

[toaruR]

そのコードだと入力したものが取得できる訳で保存とか関係なくね(・ω・) 要はブラウザの拡張機能の問題で

[nemoba]

type="password"使っても駄目じゃ調べることもなくすべてのサービスが対象だろｗ