アカウント名:
パスワード:
そして、あえて今回のトリガーを引くのは、共有環境で使っている人間が、パス見えなどを入れる事無く盗みたいとか動機無しに成立するだろうか、と。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
そもそも (スコア:0, 余計なもの)
OSに1アカウントでログインし、ブラウズだけ交替・共有するような状態で覗けてしまった
あるいは補完されて盗まれた、いずれにしても環境や手順に問題がある気がする。
逆にそういう環境で使う、そういう相手に対して場所を空けるって言う事は
環境や相手に信頼を置いたと見なして割り切っているのではないかと。
だから、OperaのHTTP認証に利用するパスワードマネジャなんかは、
同一ドメインどころか同一アカウントの入力パスワードがプルダウンで選べて、
パスワードも補完される仕様になっているんじゃないだろうか?
パスワードマネージャは、もとより利便性を向上させるためであって、
セキュリティを担保するのは、ローカルに保存しないようにするとか、
そもそも使わないようにするという選択じゃないだろうか。
勝手に補完された、不用意にボタンをクリックしたら盗まれた、
というのはユーザーの不注意が問題ではないかねえ。
Re:そもそも (スコア:4, 参考になる)
今回の問題では、操作しているのはあくまで正当なユーザーです。
PCの共有とは何も関係ありませんし、むしろ「自分しか使っていないから」とブラウザにパスワードを記憶している人が危険な状態です。
当然操作しているのはユーザーなので、マスターパスワードを設定していても意味がありません。
Re:そもそも (スコア:0)
この文章が解読できません。どういう意味なんでしょう?
Re:そもそも (スコア:2, 参考になる)
#1062695 は、今回の脆弱性の悪用方法として、「インターネット喫茶に置かれているような共有PCにキーロガーを仕込むというクライアントサイドの方法」だけを考えている。
そうではなく、「同じドメインのサーバにスクリプトを仕込んだりできれば、サーバサイドで他人がパスワードを盗むこともできる」というのが今回の脆弱性で、多くの人の共通了解ですよね。実行できそうな環境として、Livedoor の Wiki があげられていますし。