LINUX.ORG.RU

Паролеворование путем подкидывания невидимого popup

 ,


0

2

Такой вот, господа, вопрос давно мучает. Есть всякие срамные программы, которые хотят тебе показать popup где срочно надо что-то ввести, отреагировать(обычно-охереть и закрыть), залогиниться в онлайн-сервис(apple козлы), и т.д.

Допустим я как-то узнаю, что клиент вотпрямща будет логиниться и вводить пароль. Допустим что я ловлю момент немного позже ввода первой буквы и показываю popup-окно но торможу с ответом на запрос перерисовки. Моё окно получает фокус и все клавиши(пароль обычно набирают быстро), при этом его не видно, и я могу его закрыть. Пользователь сочтёт это за глюк.

Как с этим бороться? По хорошему ведь надо для переноса фокуса дождаться

а)отрисовки(внимание: а что делать если окно закрашено rgba(0,0,0,0)?) b)вывода картинки на экран. с)300+ миллисекунд на реакцию.

И это актуально не только для вышеописанного случая. Пример: в ЖЖ уже давно пытаются подсунуть рекламу под курсор. Делают так: когда курсор пересекает div размером 1px в высоту, там запускают скрипт считающий ололо от кококо, где-то на секунду. div находится как раз между постами и если попытаться кликнуть в заголовок поста, то клик будет обработан после того, как отработает скрипт и вставит рекламу туда где ты хотел кликнуть.

Как с этим бороться, хз. Но может быть у all есть идеи?

Чтобы такого не происходило, графическая оболочка не должна показывать любые окна, а лишь те, что представляет программа или сама система по ее запросу. Все остальные программы должны уметь показывать уведомления в каком-то виде, с требованием обратить внимание. То же самое касается агрегаторов окон от разных программ, типа браузера. Естественно, это нигде толково не реализовано, так что страдать, либо искать оконный менеджер, который это может хоть в каком-то виде.

anonymous ()

Если ты про x11, то можно не особо думать об этом: https://github.com/mnp/xspy доказывает, что можно слушать все окна и без фокуса.

Как с этим бороться?

Не вводить пароли руками!

Ну и правильно юзать 2FA: с отдельным девайсом и ни в коем случае не через SMS.

x3al ★★★★★ ()