LastPass浏览器插件使用存储的凭据来处理实际的登录过程

最近，LastPass浏览器插件使用存储的凭据来处理实际的登录过程备受关注，很多读者对此也很感兴趣。现在，让我们列出关于LastPass浏览器插件使用存储的凭据来处理实际登录过程的最新消息。

尽管基于云的密码管理服务很方便，但一名安全研究人员警告说，将密码放在云中可能不是最好的主意。

在Gawker漏洞暴露了多个网站重复使用密码的人数后，人们开始关注再次使用KeePass、LastPass等密码管理应用。

这些服务不需要在Post-It上写下每个网站和程序的所有密码，也不需要将它们保存为计算机上的文本文件，而是允许用户输入登录凭据，并使用强主密码进行保护。

用户登录到LastPass帐户，然后单击站点登录，LastPass浏览器插件使用存储的凭据来处理实际的登录过程。然而，英国安全研究员Mike Cardwell表示，LastPass中存在跨站点脚本漏洞，攻击者可以通过该漏洞检查用户的电子邮件地址、密码提醒信息、与用户相关的网站列表以及每个网站的登录历史。他说，登录历史包括登录站点、登录尝试的时间和日期以及原始IP地址。

他说，虽然没有拿到“圣杯”拿到密码，“但我坚信可以做到。”

根据LastPass博客，Cardwell将漏洞告知了LastPass，该漏洞在三小时内得到修复。该公司表示，问题在于“我们针对这种特殊情况的检测程序”。尽管对这起失败的案例“感到失望”，但该公司有信心修复将“在短期内带来更强大的产品”。

该公司声称，没有人成功利用“找不到”漏洞，也没有影响客户数据。该公司写道，只有当用户访问设置为利用此漏洞的恶意网站，并且仍然登录到LastPass时，才能利用此漏洞。

卡德维尔说，LastPass的客户应该“仍然非常担心”。他说：“我相信这最终会成为他们架构的一个问题，未来很容易再次发生。”

该公司已经解决了Cardwell的一些问题，比如实现HSTS(HTTP严格传输安全)协议，以确保只要用户在LastPass页面上，Chrome和Firefox就会保持SSL连接。卡德维尔说，如果没有HSTS，中间人攻击可能会创建一个假的lastpass.com页面，并诱使浏览器使用iframe来获取该页面。

该公司表示，LastPass正在实施与CSP(内容安全政策)“非常相似的东西”。由Mozilla开发的CSP允许网站设计者和管理员控制内容在网站上的显示方式。该公司表示，CSP是防御此类攻击的“巨大进步”。

该公司还实现了X框架选项，这将使这种攻击更难利用，因为将LastPass页面嵌入另一个带有iFrame的页面是“不可能的”。

LastPass建议，虽然安全漏洞已经关闭，但相关用户仍然可以通过退出LastPass来保持安全，然后访问有可疑或与成人相关内容的网站。

卡德维尔说：“将您的密码管理外包给第三方可能有内在的危险。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！