Pandora Radio: локальное хранилище показывает пароль и другие данные

Pandora Radio — популярный веб-сайт потокового аудио, который в настоящее время доступен только для пользователей, подключающихся из США (напрямую или через прокси). Недавно стало известно, что Pandora сохраняет информацию об учетной записи пользователя небезопасным образом.

Люди, исследовавшие проблему, сначала предположили, что Pandora сохраняла пароли и другую важную информацию об учетных записях пользователей в открытом виде на сервере. но это явно не так. Тем не менее, когда вы открываете настройки Pandora в Интернете, вы можете использовать встроенные инструменты веб-разработки, чтобы раскрыть пароль в открытом виде.

Оказалось, что для сохранения информации используется локальное хранилище HTML5. Хотя данные сохраняются в зашифрованном виде, для этого использовался слабый ключ шифрования. Что еще хуже, ключ один и тот же для всех пользователей службы.

Тем временем был создан сценарий проверки концепции, который вы можете использовать для расшифровки хранилища. Все, что вам нужно. нужно скопировать значение хранилища в буфер обмена и вставить его в форму на сайте, чтобы расшифровать информацию и раскрыть пароль, идентификатор пользователя и адреса электронной почты всех пользователей, использующих Pandora на компьютере.

В Chrome, вы найдете данные в разделе Инструменты разработчика, Ресурсы, Локальное хранилище, www.pandora.com. Просто скопируйте данные и вставьте их в форму, чтобы увидеть информацию на экране.

Это работает до тех пор, пока вы не выходите из pandora.com после его использования. Если вы это сделаете, хранилище будет очищено автоматически, так что никто не сможет восстановить ваши пароли с помощью формы. Раньше этого не было, но подчеркивается, как вы можете защитить данные своей учетной записи от третьих лиц, которые имеют локальный доступ к вашему компьютеру. Если вы не выйдете из системы, информация вашей учетной записи останется в хранилище локально.

На самом деле это не проблема, если вы единственный пользователь на компьютере или убедитесь, что вы должным образом защищаете учетную запись пользователя, чтобы никто другой не мог просто получить к ней доступ. Однако на общедоступных компьютерах это может быть важнее.

Оцените статью
toodcast.ru
Добавить комментарий