1Password 和 官方 Chrome 扩展之间明文传输敏感信息 - 鸠占鹊巢 - 知乎专栏
根据 medium 上的一篇文章:1Password sends your password across the loopback interface in clear text,1Password 和 官方的 Chrome 插件之间依靠 loopback 明文传输敏感信息,账户,密码,信用卡号等等。
同样基于上述文章,我们可以通过如下流程验证:
系统:Mac,1Password 6.0.2 浏览器:Chrome 48.0.2564.116,最新的 1Password Chrome 扩展。
第一步,卸载 chrome 扩展,然后在 shell 中启动命令抓取 loopback 数据:
sudo tcpdump -i lo0 -s 65535 -w info.cap 第二步,打开 chrome,重装官方扩展,然后打开,会有一个调起 1Password 应用的授权过程。授权之后,随便打开你在 1Password 中存储了密码的网站,笔者这里以 dnspod 示例。打开之后,点击 Chrome 扩展,查询该网站密码并自动填充进行登录。
第三步:停掉第一步启动的抓取命令。然后查看下 info.cap 这个文件内容,明文密码一目了然。
Read full article from 1Password 和 官方 Chrome 扩展之间明文传输敏感信息 - 鸠占鹊巢 - 知乎专栏
No comments:
Post a Comment