[Hacked] วิธีการเปิดเผยรหัสล็อกอินในเว็บเบราว์เซอร์ต่างๆ

By: peridty
ContributorAndroidWindowsIn Love
on 27 September 2012 - 21:14 Tags:
Topics: 
Browser
Hacking
LastPass
Password
Node Thumbnail

สำหรับข่าวนี้ค่อนข้างจะเป็นข่าวร้ายสำหรับพวกที่ชอบใช้บริการหรือโปรแกรมที่ช่วยจำรหัสผ่าน เช่น Lastpass หรือให้เว็บเบราว์เซอร์ช่วยจำรหัสผ่านให้ ซึ่งโดยปกติแล้วในช่องใส่รหัสจะคอยมีสัญลักษณ์ปกปิดรหัสผ่านอยู่ แต่มีผู้ค้นพบวิธีการเปิดเผยแบบง่ายมากๆๆ

ก่อนอื่นสำหรับผู้ใช้ Google Chrome ถ้าใช้ Lastpass มันจะช่วยใส่รหัสผ่านให้อัตโนมัติ จากนั้นให้คลิกขวาที่ช่องใส่รหัสผ่าน เลือก "Inspect Element" จากนั้นจะเป็นการเรียก Developer Console ขึ้นมา ให้หาบรรทัดที่มีคำว่า "input type=password" แล้วให้เปลี่ยนคำว่า password เป็น text เท่านี้ก็จะเห็นรหัสผ่านได้ทันที

(วิธีทำแบบละเอียดจะอยู่ในวิดีโอหลังเบรคนะครับ)

ปล.สำหรับโดยส่วนตัวแล้วใช้ LastPass อยู่ด้วยเจอข่าวนี้ถึงกับอึ้งครับ ถ้ามีคนมาเล่นแล็ปท็อปแล้วมาใช้วิธีนี้รหัสผ่านทุกอันมีหวังไม่เป็นความลับกันพอดี --"

ที่มา - LifeHacker, Labnol

สำหรับเว็บเบราว์เซอร์อื่น เช่น Internet Explorer, Firefox และ Safari ก็สามารถใช้วิธีนี้ได้ โดยสำหรับ Internet Explorer ให้กด F12 เพื่อเปิดหน้าต่าง Developer Tools จากนั้นกด Ctrl+B เพื่อเปิด Element selection mode

Get latest news from Blognone

Comments

By: TeamKiller
ContributoriPhone
on 27 September 2012 - 21:29 #481805
TeamKiller's picture

ผมว่าเข้าไปดู setting ก็เจอหมดละ

By: nant
ContributorWindows PhoneRed HatUbuntu
on 27 September 2012 - 21:30 #481810 Reply to:481805

+1

By: Lightwave
iPhoneAndroidWindows
on 27 September 2012 - 22:08 #481844 Reply to:481810

+ล้านๆๆๆๆๆๆๆๆๆๆ

By: peridty
ContributorAndroidWindowsIn Love
on 27 September 2012 - 22:47 #481880 Reply to:481805
peridty's picture

พอดีในกรณีผมจะฝาก password ทั้งหมดไว้ที่ Lastpass หมดเลยนะครับ พอดีอ่านเจอข่าวดีเลยสะดุดก็เลยอยากเอามาเล่าให้คนอื่นๆฟังด้วยครับ

、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ

By: TeamKiller
ContributoriPhone
on 27 September 2012 - 23:01 #481893 Reply to:481880
TeamKiller's picture

Lastpass มันต่างอะไรจากที่เกมใน Browser เปล่าอะครับ ผมไม่เคยใช้เลยอะครับ

By: peridty
ContributorAndroidWindowsIn Love
on 27 September 2012 - 23:18 #481916 Reply to:481893
peridty's picture

มันไม่ใช่เกมคับ มันเป็นบริการช่วยเก็บ password ให้นะครับ อันนี้เป็บเว็บ lastpass.com

、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ

By: HudchewMan
ContributorAndroidWindowsIn Love
on 28 September 2012 - 00:01 #481959 Reply to:481916
HudchewMan's picture

ผมว่าเขาคงพิมพ์ผิดครับ ไม่ได้หมายถึงเกมหรอก

เขาน่าจะหมายถึงแบบนี้ --> มันต่างอะไรจากที่ เก็บ ใน

~ HudchewMan's Station & @HudchewMan~

By: TeamKiller
ContributoriPhone
on 28 September 2012 - 23:36 #482511 Reply to:481916
TeamKiller's picture

สื่อสารผิดเลย ขอโทษทีครับ ฮ่าๆ

ช่วงนี้ไม่รู้เป็นไรพิมพ์เก็บเป็นเกมอยู่บ่อยมาก

By: sunback
Contributor
on 27 September 2012 - 23:11 #481907 Reply to:481805
sunback's picture

ใช่ครับ ไม่ต้องพิศดาร ในกรณีตามภาพคือมีการ Auto Fill (และตั้งค่า Setting ทั้งหลายแบบปริยาย) ไว้ แสดงว่าเจ้าของเครื่องอยู่ในสภาวะเข้าใช้งาน Lastpass อยู่ เราก็เข้าไปดู ตู้เซฟรหัสทั้งหมดได้เลย ถ้าง่ายๆ ก็คลิกขวาที่ช่องรหัสผ่านแล้วเลือก Copy รหัสผ่านกันได้เลย

กรณีที่เปิดเผยในข่าวนี้ไม่แน่ใจว่าแฮกเกอร์จะสามารถทำมาจากระยะไกลได้หรือเปล่า อันนี้คงต้องให้ผู้เชี่ยวชาญตอบแทน

By: peridty
ContributorAndroidWindowsIn Love
on 27 September 2012 - 23:19 #481918 Reply to:481907
peridty's picture

ผมลองไป copy แล้วไม่สามารถทำได้ มันไม่ขึ้นเป็น Password นะครับ

、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ

By: sunback
Contributor
on 27 September 2012 - 23:54 #481952 Reply to:481918
sunback's picture

ต้องคลิกขวา เลือก lastpass แล้วเลือก copy password ครับ

By: peridty
ContributorAndroidWindowsIn Love
on 28 September 2012 - 00:32 #481977 Reply to:481952
peridty's picture

มันให้ใส่ Master password คับ

、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ

By: sunback
Contributor
on 28 September 2012 - 09:37 #482129 Reply to:481977
sunback's picture

แสดงว่ามีการตั้งค่าเพิ่มเติมครับ และคุณทำถูกต้องแล้ว และช่องโหว่นี้จะใช้ได้ดีก็ตอนนี้แหละ

By: nant
ContributorWindows PhoneRed HatUbuntu
on 27 September 2012 - 21:31 #481812

ข้อห้ามอันดับแรกของการรักษาความปลอดภัยคือห้ามมิให้ผู้ที่ไม่น่าไว้ใจเข้าถึงเครื่องโดยตรง เพราะถ้าเขาสามารถเข้าถึงได้ จะไม่มีวิธีไดสามารถป้องกันข้อมูลได้อีกแล้ว

By: nat3738
ContributorAndroidRed HatUbuntu
on 27 September 2012 - 21:46 #481822

แปลก เพื่งมีคนมาเผยแพร่เหรอ ผมก็ใช้


$("input[type=password]").each(function() {
alert(this.value);
});

มานานแล้วนะ...

By: mk
FounderAndroid
on 27 September 2012 - 22:45 #481876
mk's picture

ตกลงมันเป็นวิธีของ "เบราว์เซอร์ต่างๆ" หรือว่าแค่ Chrome ละครับ

By: peridty
ContributorAndroidWindowsIn Love
on 27 September 2012 - 22:52 #481884 Reply to:481876
peridty's picture

จากแหล่งที่มาบอกว่าใช้ได้กับทุกเบราว์เซอร์ แต่ว่าเค้าทดลองทำกับ Google Chrome ให้ดูครับ ในหัวข้อของ LifeHacker จะเขียนว่า "Easily Reveal Hidden Passwords In Any Browser"

、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ

By: mk
FounderAndroid
on 28 September 2012 - 09:05 #482118 Reply to:481884
mk's picture

ผมอ่านแล้วยังไม่เข้าใจประเด็นของข่าวนะครับ

  • มันเป็นปัญหาของอะไรกันแน่ ของเบราว์เซอร์ทั่วไปที่เพิ่งมีคนค้นพบ?
  • ถ้าเพิ่งมีคนค้นพบ มันกระทบกับเบราว์เซอร์ตัวไหนบ้าง ทุกตัวเลยไหม ถ้าทุกตัว ทำไมมันถึงเป็นเช่นนั้น
  • หรือเป็นปัญหาของ LastPass แทน?
By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 28 September 2012 - 10:23 #482156 Reply to:482118
tanersirakorn's picture

เท่าที่อ่าน มันคือการเปลี่ยน Type ของ Field จาก Password เป็น Plain Text โดยใช้ Inspect Element ช่วยแก้ค่าเท่านั้นครับ

Blog | Twitter

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 28 September 2012 - 15:10 #482289 Reply to:481884
PaPaSEK's picture

ที่หัวข่าว Hacked แปลว่าถูกแฮกครับ

By: kh4ever1
ContributoriPhoneAndroidWindows
on 27 September 2012 - 23:27 #481928

ผมเคยใช้ "Inspect Element" แค่ไปเอารูปจากเว็บที่ไม่ให้เซฟรูป... (ไม่เกี่ยวนิ)

My about.me

By: jirayu
ContributorWindows PhoneBlackberrySymbian
on 27 September 2012 - 23:41 #481938

ผมเซฟไอ้นี่ไว้เป็น bookmarklet เวลาลืม password ก็ auto fill แล้วก็คลิกไอ้นี่เอา

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page.");})();

By: pittaya
WriterAndroidUbuntuIn Love
on 28 September 2012 - 00:03 #481961
pittaya's picture

ถ้าซีเรียสเรื่องรหัสผ่านถึงขนาดใช้ LastPass แล้วจะปล่อยให้คนอื่นมาใช้คอมตัวเองได้เหรอครับ? เข้าใจว่าบริการจำพวกนี้มันเป็น password manager ถ้าเอามาใช้งานแค่ autofill เพื่อจะไม่ต้องจำรหัสผ่านนี่ผมว่าเหมือนเอามาใช้ผิดวิธียังไงก็ไม่รู้

pittaya.com

By: kajokman
ContributorAndroidIn Love
on 28 September 2012 - 01:49 #482022
kajokman's picture

ถ้าใช้ Extension LastPass แล้วคนเค้ามาใช้เครื่องเรา เค้าก็เปิด My LastPass Vault ดู password ได้หมดนั่นแหละ ^^

By: Lightwave
iPhoneAndroidWindows
on 28 September 2012 - 02:54 #482037 Reply to:482022

สรุปก็กันไม่ได้อยู่ดีใช่มะครับ สงสัยต้องพิมพ์เองหมดเลย ><

By: i3i4i5
ContributoriPhoneWindows
on 28 September 2012 - 14:17 #482271
i3i4i5's picture

วิธีใช้ Inspect Element นี่จำได้ว่าเคยเห็นบน 9gag

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 29 September 2012 - 16:56 #482888 Reply to:482271
tanersirakorn's picture

ใช่ครับ (ฮา)

เอาเข้าจริง 9GAG นี่บางทีเป็นที่รับข่าวสารของผมเลยนะครับ

Blog | Twitter

By: rattananen
AndroidWindows
on 28 September 2012 - 17:26 #482328

เปลี่ยน post เป็น get ก็จบดูได้ทุก browser