Comments 35
UFO just landed and posted this here
Не, тогда тут другой баг — на втором мониторе не работает :)
В какой версии появится отслеживание остальных клавиш клавиатуры?
Adobe уже внедрял, и не только для IE. :)
Сейчас уже почти во всех браузерах исправили.
Сейчас уже почти во всех браузерах исправили.
Отличная новость для форм ввода CVV кода в интернет банкингах. Особенно учитывая любовь многих разработчиков подобных систем к ActiveX и соответственно IE.
Что из этого: «altKey, altLeft, clientX, clientY, ctrlKey, ctrlLeft, offsetX, offsetY, screenX, screenY, shiftKey, shiftLeft, x и y» даст перехватить ввод символов?
«путь курсора» с наложением на раскладку экранной клавиатуры? Хотя в вероятность появления реализаций данного эксплойда для данных целей я тоже сомневаюсь.
Часто для ввода CVV/CVC кода используется экранная клавиатура и вводить его нужно мышкой. Насколько я понимаю логику подобной реализации — это сделано специально чтобы невозможно было перехватить нажатия клавиш. Часто цифры на экранной цифровой клавиатуре выводятся не в случайном порядке, а в постоянной раскладке. В таком случае реально по пути курсора узнать вводимый код.
Экранная клавиатура в случайном порядке. Я наивно полагал, что все инквизиторы ушли в разработку капч.
Чтобы было совсем безопасно, надо еще и перемешивать знаки на клавиатуре после каждого нажатия.
Это уровень Easy. А вот для Moderate нужно сделать, чтобы виртуальные клавиши всё время перемещались, как бы «летая» по странице — а курсор будет их догонять. :)
В mmorpg Requiem для каждого персонажа был четырехзначный цифровой код, который надо было вводить с экранной клавиатуры. Вот там все кнопки располагаись в случайном порядке и перемешивались после каждого нажатия.
Мне кажется логика создателей такого решения может в качестве оправдания использовать тот факт, что набор клавиш ограничен только цифрами, а ввести нужно всего лишь 3 из них.
Альфа-Банк для ввода пароля отображает виртуальную клавиатуру (которая отображается в случайном месте страницы и может даже перекрывать саму форму входа, но которую, впрочем, можно закрыть).
Помню один банк в России, который как-то выдал мне экранную клавиатуру для ввода пароля. Мега удар по usability и мнимая защита (даже посветил этому топик http://outcoldman.com/ru/blog/show/207).
А случайно не знаете, почему разработчики банковских интернет-клиентов так любят ActiveX и IE? Меня всегда это интересовало)
Да, интеграция в систему на высоте.
Этакая анти-песочница :)
Никакой другой баг так не обсуждают, как баг в IE! :) Пофигу, что ФФ и Хром постоянно затыкают дырки, но они няши, а IE — решето! :-D
Как только клиенты начнут ставить требования «Это должно работать в версии Хрома, выпущенной 8 лет назад, потому что у нас на предприятии только её разрешил отдел безопасности», все начнут клясть Хром на чем свет стоит.
затыкают дырки
Ключевые слова
А MS не затыкает что ли? Или вы хотите сказать, что про этот баг знали, но не исправили?
У MS странная политика вообще. Например, тот же IE9 не был выпущен на XP, потому что в MS поставили свистелко-перделки перед безопасностью. Мол, аппаратное ускорение, так, как хотим мы, не работает, поэтому выпускать не будем, а выпустить браузер без аппаратного ускорения им, видимо, религия не позволила. То же самое сейчас с IE10 и Vista, хотя какие там мотивы — непонятно.
То есть, формально, дырки вроде как затыкают, но крутые фишки типа новомодного SmartScreen c TPL выпускать не хотят.
То есть, формально, дырки вроде как затыкают, но крутые фишки типа новомодного SmartScreen c TPL выпускать не хотят.
Довольно давно знают и не исправляют, насколько я помню из статьи на реддите.
Ладно, согласен, IE sucks less…
Именно. Защищая IE, стоит помнить — ругают и негативно относятся, по большему счёту, совсем не к IE10, и в общем-то даже и не особо к IE9. Все эти плевки в IE из-за его legacy, которое висит тяжёлым грузом и до сих пор никак не сдохнет (да, да, я знаю, что когда-то IE был впереди планеты всей а остальные браузеры ему завидовали, что в нём уже тогда было то, что сейчас только входит в стандарт CSS но речь не об этом).
Думаю, если бы MS сделало ребрендинг новому браузеру, никто бы особо его не ругал за фейлы предков, но что есь, то есть.
Думаю, если бы MS сделало ребрендинг новому браузеру, никто бы особо его не ругал за фейлы предков, но что есь, то есть.
А в FireFox'е вот уже какую версию подряд — год, а то и больше — всё никак не уберут «фичу», из-за которой флэш может отслеживать нажатия всех или почти всех клавиш на соседних вкладках этого же окна.
В других браузерах уже убрали (проверял около полугода назад).
Пример: пианино «Zebra Keys» в сообщении #8. Оно играет и на своей вкладке и на всех остальных в этом же окне.
Так что лучше вводите пароли в отдельном окне без дополнительных вкладок.
В других браузерах уже убрали (проверял около полугода назад).
Пример: пианино «Zebra Keys» в сообщении #8. Оно играет и на своей вкладке и на всех остальных в этом же окне.
Так что лучше вводите пароли в отдельном окне без дополнительных вкладок.
мда, LiveCD с кошерным дистрибутивом *nix для банкинга уже не катит — банкуют нынче с планшетиков и ультрабуков…
Ну да ладно — конкуренция заставляет банков писать/покупать решения, работающие не только на осле.
В принципе не всё так плохо — SMS -подтверждения на отдельную симку позволяют спокойно банковать.
Ну да ладно — конкуренция заставляет банков писать/покупать решения, работающие не только на осле.
В принципе не всё так плохо — SMS -подтверждения на отдельную симку позволяют спокойно банковать.
Sign up to leave a comment.
IE позволяет отслеживать координаты мыши (даже в другом окне)