אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » דליפת מידע בשדות הסיסמה בגלל באג ב-HTML

דליפת מידע בשדות הסיסמה בגלל באג ב-HTML

רן בר-זיק אוקטובר 9, 2022 7:07 am 5 תגובות

חור אבטחה ופרטיות שנגרם בגלל… תאמינו או לא HTML!

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

והנה משהו מגניב שבאמת העיף לי את הראש וקשור לאבטחת מידע/פרטיות ואמרתי שיהיה מעניין לכתוב עליו.

אנחנו רגילים לכך שאבטחת מידע זה דבר שבדרך כלל רלוונטי לצד שרת. זה נכון בחלק מהמקרים אבל אבטחת צד לקוח היא גם דבר חשוב שכתבתי עליו לא מעט גם פה – גם בהקשר של Supply Chain attack, גם XSS אבל גם דברים אחרים. המקרה הזה מראה שלפעמים אבטחת מידע היא עניין של ידע ב-HTML.

לפני כשלושה שבועות (ב-16 לספטמבר) יצא מחקר מאת חברת Otto-JS – חברת אבטחת מידע המתמקדת בצד לקוח שמראה על חולשה מגניבה במיוחד שיכולה לגרום לדלף מידע מאוד מאוד לא סימפטי. הבעיה מתחילה ונגמרת ב-HTML. מה הבעיה? נניח ויש לי input מסוג password. משהו כזה:

See the Pen Untitled by Ran Bar-Zik (@barzik-the-vuer) on CodePen.

כל עוד ה-input הוא מסוג password הכל טוב. אבל מה קורה אם לוחצים על השדה של ה-show password כמו שכולנו כמעט עושים? השדה הופך להיות type=input. שזה מעולה. כי ככה אנחנו יכולים לראות את הסיסמה ואפילו לשגר אותה. וזה בדיוק מה שאנחנו רוצים שיקרה. אז מה הבעיה?

הבעיה הם spell checkers. כן. הדברים האלו שעוזרים לנו לבדוק את האיות שלנו. הם לא יעבדו על input password. אבל הם כן יעבדו על input רגיל. וזה בדיוק החולשה – כאשר אנו מקלידים סיסמה אוsecret. הדבר האחרון שאנחנו רוצים בערך זה שזה יישלח לענן של גוגל/מיקרוסופט/ספל צ׳קר אקראי. אבל זה בדיוק מה שקורה! בהגדרות מסוימות בכרום (של advanced spell checkers) גם הטקסט שיש ב-input נבדק:

הגדרות כרום - בדיקות איות מתקדמות מופעלות

אם ההגדרות אצלכם מוגדרות כ Enhanced spell check, אתם תראו שיש חיווי שגיאה על הססמאות שאתם מקלידים:

שגיאת איות בשדה סיסמה

החבר׳ה של otto-js הכינו סרטון דמו שמראה איך זה קורה במקום רגיש במיוחד – AWS Secret manager. מקום שהדבר האחרון שאנו רוצים שישלח ממנו מידע. גם אם זה לבודק האיות של גוגל/מיקרוסופט/חברה אמינה אחרת.

הפתרון אגב, הוא פשוט במיוחד – לא, לא להסיר את האפשרות לצפות בסיסמה אלא להוסיף לשדות הסיסמה את spellcheck=false. זו תכונה שנמצאת בתקן (אפשר להכנס כאן ל-MDN ולקרוא).

כמשתמשים? אם אנו מודאגים מכך ויש לנו גישה – כדאי מאוד לוודא שאין לנו spellcheckers שרצים על input ולוודא שאם אתם משתמשים בכרום שהפיצ׳ר של בדיקת איות מתקדמת כבוי.

הסיכון הזה רלוונטי במיוחד למי שבונה ממשקים רגישים, אחסון סודות ודברים שבאמת יהיה אסון אם הם יצאו החוצה. otto-js הראו את זה על לא מעט אתרים שבאמת מוטב שהיו משתמשים ב-spellcheck=false ורובם מיהרו לתקן זאת.

באופן אישי? גם אם זה לא וקטור ההתקפה הכי מסוכן שיש בעולם – זה עדיין מעניין במיוחד איך פיצ׳ר שנועד לעזור לנו גורם לחולשת פרטיות ואיך לפעמים HTML פשוט יכול לגרום לחולשת פרטיות או לתקן אותה. אני אשתמש ב spellcheck=false בכל input של סיסמה מהנקודה הזו.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
HTML אבטחת מידע פרטיות

5 תגובות

  1. שלומי הגב אוקטובר 9, 2022 בשעה 2:15 pm

    הסברת נפלא👍
    המסקנה המתבקשת שאנחנו האויב הכי גדול של עצמנו 😅

  2. מולי הגב אוקטובר 9, 2022 בשעה 3:38 pm

    מעולה! תודה לטיפ חשוב.

  3. שקד הגב אוקטובר 9, 2022 בשעה 4:16 pm

    מרתק!
    תודה רבה

  4. גדי הגב אוקטובר 9, 2022 בשעה 7:25 pm

    כלי הפריצה דפדפן

    • עידוק הגב נובמבר 10, 2022 בשעה 12:08 am

      כלי הפריצה *המשוכלל*

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד