V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
onice
V2EX  ›  信息安全

Lastpass 又爆安全漏洞了

  •  
  •   onice · 2016-08-01 14:13:52 +08:00 · 6526 次点击
    这是一个创建于 3043 天前的主题,其中的信息可能已经有所发展或是发生改变。

    传送链接: http://thehackernews.com/2016/07/lastpass-password-manager.html

    话说上个月才刚买的高级版,这个月就爆漏洞,,真是够了。。。

    还好涉及到钱的口令都是人工记忆。

    32 条回复    2016-08-03 11:00:21 +08:00
    LigeLaige
        1
    LigeLaige  
       2016-08-01 14:19:09 +08:00
    何不用 http://keepass.info/ 乎?
    ivmm
        2
    ivmm  
       2016-08-01 14:20:15 +08:00
    看了貌似说:只影响 Firefox 用户

    设置了两步验证安全么? lastpass 的密码不是加密的么,拖到库了也得解密呀
    onice
        3
    onice  
    OP
       2016-08-01 14:28:41 +08:00
    补一个中文的链接: http://www.freebuf.com/news/110378.html
    ivmm
        4
    ivmm  
       2016-08-01 14:45:18 +08:00
    @onice

    看了中文的,心凉了一节。 有优惠了入 1password 吧。
    woshinidie
        5
    woshinidie  
       2016-08-01 15:00:29 +08:00
    @ivmm 笑了,这是从一个屎坑跳得另一个屎坑?
    ivmm
        6
    ivmm  
       2016-08-01 15:01:56 +08:00
    @woshinidie 求建议
    DT27
        7
    DT27  
       2016-08-01 15:12:11 +08:00
    看完了,没什么关系。。。
    just4test
        8
    just4test  
       2016-08-01 15:17:34 +08:00
    不明白这和 lastpass 有什么关系。页面的 js 不安全的导致密码泄露,这锅怎么也不该 lastpass 来背。这个问题,换用哪个密码管理器能解决?
    @ivmm
    ivmm
        9
    ivmm  
       2016-08-01 15:18:06 +08:00
    @just4test 1password 可以不走云
    just4test
        10
    just4test  
       2016-08-01 15:20:31 +08:00
    @ivmm 好好看看这个所谓的 bug ,页面 js 不安全。在提交的时候把你的密码泄露。你手动输入密码也会泄露。
    imn1
        11
    imn1  
       2016-08-01 15:28:29 +08:00
    @woshinidie +1
    这跟买理财产品其实是一样的,当物资交到别人手里,你就没有了风险控制权
    如果要买,就必须相信他人的能力比你高很多,依赖信任
    如果认为其风险控制能力跟自己差不多,自己却丧失控制权,那就不要买不要用

    永远要有自己就是 1%, 1%。, 1ppm ……的觉悟
    skywalker
        12
    skywalker  
       2016-08-01 15:33:38 +08:00
    自从 lastpass 上次的事件我就删除帐号了,即使是加密过,我也不放心自己的数据放在别人的服务器上。万一解密手段升级了呢?
    Bairrfhoinn
        13
    Bairrfhoinn  
       2016-08-01 15:39:43 +08:00
    我去,这还让人怎么放心使用它家服务,花钱了也不过如此,该出问题还是出问题。
    Dexter0
        14
    Dexter0  
       2016-08-01 15:40:03 +08:00
    可以试试「洋葱」 http://www.yangcong.com ,不过话说回来,任何厂商都不能保证 100%的安全,但是起码他们是专业的。

    不能因为特斯拉自动驾驶出过车祸就否定它,一个道理。
    Dexter0
        15
    Dexter0  
       2016-08-01 15:41:08 +08:00
    现在我的不是特别重要的密码都是用洋葱来管理,特别重要的都会开启二步验证,并且尽量自己记忆。
    icecoffee
        16
    icecoffee  
       2016-08-01 15:49:18 +08:00
    @just4test 不是说 lastpass 会误判断么? 浏览器认为域名是 http://avlidienbrunn.se 但是 lastpass 会填 twitter 的账号密码
    这个不是 lastpass autofill 的锅么?

    "By browsing this URL: http://avlidienbrunn.se/@twitter.com/@hehe.php the browser would treat the current domain as avlidienbrunn.se while the extension would treat it as twitter.com," Karlsson explained.
    xiaoc19
        17
    xiaoc19  
       2016-08-01 15:49:23 +08:00
    我能确定楼上很多言之凿凿的并没有看懂文章。。。。

    或者,根本只是个不懂安全的程序员罢了
    xiaoc19
        18
    xiaoc19  
       2016-08-01 15:53:19 +08:00
    补一句,我指的是那些说和 lastpass 没关系的
    SuperMild
        19
    SuperMild  
       2016-08-01 15:54:53 +08:00
    是不是说关掉 autofill 就好了?

    话说我从一开始用就关了 autofill ,本来就觉得自动填不太好。
    cxbig
        20
    cxbig  
       2016-08-01 16:12:47 +08:00
    更加坚信 1Password+Wi-Fi 同步 的策略
    just4test
        21
    just4test  
       2016-08-01 16:45:13 +08:00
    @icecoffee 那是以前的 bug 了,子标题是 Similar Old Bug in LastPass Password Manager:
    skylancer
        22
    skylancer  
       2016-08-01 16:47:54 +08:00
    这个帖子我就看到一个完全没看懂文章的
    jsfaint
        23
    jsfaint  
       2016-08-01 16:56:45 +08:00
    洋葱有办法导入 lastpass 么?
    一个一个输入的话也太蛋疼了
    muziki
        24
    muziki  
       2016-08-01 16:58:39 +08:00
    昨天才买的高级账户,就图跨平台复制密码方便一些
    但是个人其实并不在乎,别人拿我的账号也没什么用
    just4test
        25
    just4test  
       2016-08-01 17:10:35 +08:00
    @icecoffee
    @ivmm
    抱歉,我弄错了。刚才没看英文原文。近期总共有两个 bug :
    Bug1 :该 bug 导致可以构造恶意 url ,收集任意其他站点密码。
    https://twitter.com/avlidienbrunn/status/758232557829914624
    Bug2 :该 bug 可以模拟点击 Lastpass 插入页面中的自动填表按钮,从而调用 lastpass api 。
    https://twitter.com/taviso/status/758461726945783808

    这两个 bug 都出现在自动填写密码的部分。
    dallaslu
        26
    dallaslu  
       2016-08-01 17:10:42 +08:00   ❤️ 3
    真棒, LastPass 又修复了一个漏洞,高级版不白买啊。
    just4test
        27
    just4test  
       2016-08-01 17:11:19 +08:00
    @skylancer sorry ……刚才看了下英文原文,才明白过来
    noir
        28
    noir  
       2016-08-01 17:32:42 +08:00
    我只用脑子
    coolcfan
        29
    coolcfan  
       2016-08-01 18:51:43 +08:00
    任何有自动填充的密码管理器都可能出现这样的问题吧……
    所以最好不用自动填充。
    tobyxdd
        30
    tobyxdd  
       2016-08-01 19:35:30 +08:00
    自动填充已关 续一年高级用户压压惊
    ranran
        31
    ranran  
       2016-08-01 23:56:35 +08:00
    @skylancer 确实很多没看懂还自以为看懂了的……然后还推荐别的……

    其实关了自动填充就行了。
    skylancer
        32
    skylancer  
       2016-08-03 11:00:21 +08:00
    @just4test 兄弟,看清楚再回帖...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2639 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:11 · PVG 12:11 · LAX 20:11 · JFK 23:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.