QH
Потому что к буферу обмена доступ имеет весь софт на девайсе, в то время как вводимые посредством кастомной клавиатуры данные никуда не уплывают.
што за кастомная клавиатура? Это про андроид?
Size: a a a
2020 September 21
AM
што за кастомная клавиатура? Это про андроид?
Да, про способ ввода паролей из паролехранилок на андроиде.
AM
Но на десктопах в случае бразуеров экстеншн для браузера по той же причине лучше копирования в буфер, да.
AM
Плюс они ещё и от фишинга спасают.
AM
Потому что к буферу обмена доступ имеет весь софт на девайсе, в то время как вводимые посредством кастомной клавиатуры данные никуда не уплывают.
Наивность. Данные могут утечь, но достать их из кастомной клавы (читай из оперативки) куда труднее — необходимо инъектиться в эту клавиатуру.
AM
што за кастомная клавиатура? Это про андроид?
На декстопе тоже есть. Ещё популярна "мини-клава" на сайтах платёжных систем для ввода CVV2 кода.
AM
Наивность. Данные могут утечь, но достать их из кастомной клавы (читай из оперативки) куда труднее — необходимо инъектиться в эту клавиатуру.
Что возможно либо если девайс рутованный и юзер сам подарит рут недоверенному коду, либо если злоумышленники воспользуются уязвимостью в андроиде либо в самой клавиатуре. Оба варианта -- корнеркейсы, я же говорил об обычной работе с девайсом.
AM
Наивность. Данные могут утечь, но достать их из кастомной клавы (читай из оперативки) куда труднее — необходимо инъектиться в эту клавиатуру.
Ну или можно модифицировать эту клаву и перехватывать, да. Но это относительно палевно
AM
Так-то и из самой паролехранилки с тем же успехом можно данные угонять, клавиатура ни при чём.
AM
Что возможно либо если девайс рутованный и юзер сам подарит рут недоверенному коду, либо если злоумышленники воспользуются уязвимостью в андроиде либо в самой клавиатуре. Оба варианта -- корнеркейсы, я же говорил об обычной работе с девайсом.
Корнеркейсы? Шо это?
При обычной работе с девайсом повышение привилегий вполне реально (и я не только о андроиде).
При обычной работе с девайсом повышение привилегий вполне реально (и я не только о андроиде).
AM
Так-то и из самой паролехранилки с тем же успехом можно данные угонять, клавиатура ни при чём.
Да
AM
Ты нудный. Я озвучиваю общую мысль о том, что в среднем не пользоваться буфером обмена -- хорошая практика, а ты начинаешь цепляться к словам и уводить разговор куда-то в дебри о том, что жить вообще вредно. Да, вредно.
AM
Корнеркейсы? Шо это?
При обычной работе с девайсом повышение привилегий вполне реально (и я не только о андроиде).
При обычной работе с девайсом повышение привилегий вполне реально (и я не только о андроиде).
Уже загугли. При "нормальной" работе с устройством получить рута вполне реально, да. Что и делают юзеры вручную для получения рута на устройствах, на которых получение рута производителем не предусмотрено.
А корнер кейсом может быть физический доступ к устройству и работа с ним различными техническими средствами (в том числе взлом бут раздела).
А корнер кейсом может быть физический доступ к устройству и работа с ним различными техническими средствами (в том числе взлом бут раздела).
AM
Ты нудный. Я озвучиваю общую мысль о том, что в среднем не пользоваться буфером обмена -- хорошая практика, а ты начинаешь цепляться к словам и уводить разговор куда-то в дебри о том, что жить вообще вредно. Да, вредно.
Так ты заявил, что "данные никуда не уплывают". Это же неправда , что я и уточнил
AM
Так ты заявил, что "данные никуда не уплывают". Это же неправда , что я и уточнил
Вероятность того, что злоумышленник у тебя на устройстве умудрился прочитать память процесса паролехранилки или её клавиатуры несравнимо ниже вероятности того, что злоумышленник стандартными средствами андроида прочитает буфер обмена. И от последнего защититься можно, а от первого -- уже нет.
AM
Вероятность того, что злоумышленник у тебя на устройстве умудрился прочитать память процесса паролехранилки или её клавиатуры несравнимо ниже вероятности того, что злоумышленник стандартными средствами андроида прочитает буфер обмена. И от последнего защититься можно, а от первого -- уже нет.
Согласен, труднее. Но не "несравнимо". Сравнить можно, где-то на порядок. Но таки возможно и этим активно пользуются (трояны с повышением привилегий даже в плей маркета неоднократно красовались).
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
AM
Согласен, труднее. Но не "несравнимо". Сравнить можно, где-то на порядок. Но таки возможно и этим активно пользуются (трояны с повышением привилегий даже в плей маркета неоднократно красовались).
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
Так а я свой совет растягивал на что-то вне паролехранилок?
QH
Согласен, труднее. Но не "несравнимо". Сравнить можно, где-то на порядок. Но таки возможно и этим активно пользуются (трояны с повышением привилегий даже в плей маркета неоднократно красовались).
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
От первого тоже можно защититься, но это скорее только для паролехранилок актуально. Иначе гемморой без необходимости
да можно тогда и из приложения, в которое пароль вводишь, хип сдампить — какой вообще смысл рассматривать этот вариант?
AM
Педантичность полезна, но до определённой степени. Дальше она прямиком в душность превращается.
AM
Так а я свой совет растягивал на что-то вне паролехранилок?
Не знаю. Мне лишь не понравилось, что фраза "никуда не уплывают" может кем-то быть прочитана и потом этот самый человек будет строить ложные надежды безопасности, когда это не так и вполне вероятно может быть украдено.