アカウント名:
パスワード:
全然コメントもつかないようだし、あえてここで聞いてみるんですが、この種のソフトにリモートデバッグ機能って必要なんですかね?パスワード管理ソフトなんてネットワークに接続できたらそのうち問題起こすのは自明だと思うのですが。
なんでもかんでもネットワークに繋ぐのが今時でありトレンドなのですよ。
「リモートデバッグスタブ」なるものがリリース版モジュールに含まれているのがおかしいように見えますね。
パスワード管理ソフトであることはこの際関係なくて、常駐?するプログラムが任意のコマンドを外部から実行可能であることが問題のようです。
なんでhttpのapiなんぞ使ってるのかとは思いますが、ブラウザ拡張との連携とかですかね。
最初聞いた時、これに割り振られたエンジニアがNode.jsしか使えないんじゃないかーなんて思っちゃったんだけど。さすがにないかな。
どう考えてもバックドア
こんなもん正面玄関やろ
ブラウザの制限などで、WebSocketで本家のアプリと通信するっていうのは他でもやってる。Macで有名な1passwordも同様の流れ。
How secure is the connection between 1Password mini and the browser extension? https://support.1password.com/mini-extension-security/ [1password.com]
読む限り、リクエストについてくるリファラーのようなものにブラウザ拡張のユニークIDがついてるから、それ見て自分のだと確認してる、とさ。
その他にも、悪意のあるアプリが指定のポートを先に使ってたら、ブラウザ拡張がそのアプリ向けに新しいパスワード送ってくるんじゃね、って問題などあるが、そんなアプリに入られてる時点で、通信傍受するよりウェブからパスワードぶんどったほうが速いぜ、なんて
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
うーん (スコア:0)
全然コメントもつかないようだし、あえてここで聞いてみるんですが、この種のソフトにリモートデバッグ機能って必要なんですかね?
パスワード管理ソフトなんてネットワークに接続できたらそのうち問題起こすのは自明だと思うのですが。
Re: (スコア:0)
なんでもかんでもネットワークに繋ぐのが今時でありトレンドなのですよ。
Re: (スコア:0)
「リモートデバッグスタブ」なるものがリリース版モジュールに含まれているのがおかしいように見えますね。
パスワード管理ソフトであることはこの際関係なくて、常駐?するプログラムが
任意のコマンドを外部から実行可能であることが問題のようです。
なんでhttpのapiなんぞ使ってるのかとは思いますが、ブラウザ拡張との連携とかですかね。
Re: (スコア:0)
最初聞いた時、これに割り振られたエンジニアがNode.jsしか使えないんじゃないかーなんて思っちゃったんだけど。
さすがにないかな。
Re: (スコア:0)
どう考えてもバックドア
Re: (スコア:0)
こんなもん正面玄関やろ
Re: (スコア:0)
ブラウザの制限などで、WebSocketで本家のアプリと通信するっていうのは他でもやってる。
Macで有名な1passwordも同様の流れ。
How secure is the connection between 1Password mini and the browser extension?
https://support.1password.com/mini-extension-security/ [1password.com]
読む限り、リクエストについてくるリファラーのようなものにブラウザ拡張のユニークIDがついてるから、それ見て自分のだと確認してる、とさ。
その他にも、悪意のあるアプリが指定のポートを先に使ってたら、ブラウザ拡張がそのアプリ向けに新しいパスワード送ってくるんじゃね、って問題などあるが、
そんなアプリに入られてる時点で、通信傍受するよりウェブからパスワードぶんどったほうが速いぜ、なんて