Немного про Яндекс Protect
«Даже если вы нажмете на какую-то ссылку и введете логин и пароль то ничего такого не случится» — реклама браузера Яндекс. Как это работает и так ли это? Посмотрев эту рекламу мне конечно стало интересно, как Яндекс смог «победить» такую сложно решаемую проблему как кража паролей. Хочу отметить, что рассматривал я только одну из функций Яндекс Protect, а именно «Защита от кражи паролей».
Если совсем коротко, то принцип действия механизма защиты от кражи паролей в Яндекс браузере сводится к проверки значения поля input type=«password» перед отправкой формы на сервер. В этот момент значения этого поля сравнивается со значением сохраненных в браузере паролей (по информации от Яндекс сравниваются хэши паролей). При обнаружении совпадений выводится предупреждение пользователю. Идея в общем понятная, однако эффективность данного метода вызывает сомнения.
Во-первых
Такой метод точно не остановит создателей фишинговых сайтов, а просто заставит немного модернизировать код на страничке. Вариантов может быть много. Например, использовать другой input type — проверяется только type=password, поставить обработчик событий на поле ввода, читать содержимое скриптом и отправлять значения на сервер в фоне и еще можно придумать не мало подобного. В качестве эксперимента, я модернизировал поле input type=«password» по известному мне алгоритму перед отправкой, а на сервере восстанавливал его.
Во-вторых
Реализованный в Яндекс браузере метод открывает еще одну «дверцу» для злоумышленников. В силу того, что для работы данного механизма защиты, браузер сравнивает набранный пароль с сохраненными в браузере у злоумышленников появляется возможность реализовать перебор паролей в фоновом режиме просто разместив на сайте специально подготовленный скрипт. Такой скрипт должен поочередно заполнять скрытое от пользователя поле input type=«password» паролями из словаря и эмулировать отправку формы на сервер в ожидании срабатывания защиты. Срабатывание защиты и будет являться индикатором того, что пароль верный. Способ имеет ряд недостатков — для перебора большого количества паролей пользователь должен долго находится на зловредном сайте; неизвестно от какого ресурса подобранный пароль; у пользователя внезапно выскакивает окно с предупреждением, которое может его насторожить. Однако, все равно неприятная особенность.
Ну и в-третьих
На мой взгляд самая неприятна часть. Подобная реклама прививает пользователям чувство ложной защищенности, что по сути снижает уровень безопасности этих самых пользователей Яндекс браузера.