问题标签 [lastpass]

问题背景及步骤

我在 Mac OS 版本 10.12.3 上使用 Chrome 58。

正在发生这样的事情：StackOverflow - _lpchecked=“1” 在表单中是什么意思？

当我单击子输入元素内部时，此属性会添加到父表单元素。

我的问题是，当这种情况发生时，属性“autocomplete=off”被添加到输入元素中。在子输入元素之间切换时，该属性会添加到当前焦点元素。

元素名称是“to_email”和“comments”。

这不是登录表单，而是共享表单。

这似乎是基于我拥有 LastPass 扩展名、变量名和一些在线搜索而发生的。

我尝试进入 LastPass 帐户设置区域，“从不 URL”部分/选项卡，并将 URL 添加到“从不做任何事情”类别。

URL 的格式为sub.domain.tld/path/resource.php?queryParam=value。LastPass 只允许我将不带查询部分的 URL 添加到列表中，即使我尝试使用通配符星号 (*) 作为值也是如此。

即使在访问 LastPass 扩展菜单 > 更多选项 > 高级 > 刷新站点、清除本地缓存并刷新页面后，仍然会出现此问题。

我在Hacker News 文章中没有看到任何关于signon.overrideAutocompleteChrome 中类似于 Firefox 的属性的信息，并且可能无论如何也不想要如此广泛的解决方案。

我不想安装另一个扩展，比如自动完成功能 （似乎不存在），并且功能相互“战斗”，这甚至可能不会产生理想的结果，比如根本工作或不断翻转。

我什至用诸如“添加属性”和“动态”之类的词搜索了其他可能的方法，但谷歌将结果偏向于特定页面的不太复杂的场景，如果我愿意的话，我可以尝试用TamperMonkey解决。

如果有任何此类问题，例如“嗅探”以获取更多自动完成信息，正如这些链接所提到的：

• yoast - 为什么你不应该使用自动完成
• Alex Maccaw - Chrome 的 requestAutocomplete()

然后希望如果我只在有限的基础上解决这个问题应该没问题，尤其是对于具有不敏感数据的表单。

问题

• 如何防止 LastPass 添加此属性？
• 只是 LastPass 这样做吗？
• 我是否正确输入了“从不做任何事情”的 URL？

有趣的链接

• 黑客新闻 - 反对 autocomplete=off 的战争 (2013)

我想通过遵循良好实践来实现身份验证系统，我希望它尽可能简单和安全（我不会实现一些神奇的哈希函数或感觉像英雄的东西..）只是想使用已知的哈希但不确定正确的使用方法。我读了一些关于 Lastpass（密码管理公司）如何处理他们的身份验证的文章，我喜欢他们的想法。所以我想基于它实现我自己的身份验证。

基本上我从客户端的密码创建一个身份验证密钥（因此密码永远不会作为计划文本发送到服务器）。该身份验证密钥即时发送到服务器，而不是在服务器端进行一些散列操作，并将结果与​​数据库内的结果进行比较。

在我的客户端：

解释 - 哈希密码+用户名+last_login_fe_salt文本fe_rounds次

last_login_fe_salt -> 在用户在文本字段中输入用户名后发送给用户的随机盐 - 老实说，不确定这个 last_login_fe_salt 如何有效地防止字典攻击，但至少两个拥有相同密码的人会发送不同的哈希值在他们的网络上。任何黑客都可以通过从服务器询问来获取这些数据，我可以添加服务器端限制（req/s 如果它有一些不同等。让我知道你的想法）也添加验证码可能是一个好主意。当用户成功登录时，服务器会生成一个新的随机字符串并保存到数据库中。

*我没有看到 Lastpass 在他们的客户端散列中使用哪种 salt 的任何解释，他们正在使用需要 salt 参数的 PBKDF2 算法。

fe_rounds -> 输入用户名时服务器给出的轮数 - 它对每个人都是固定的，可由服务器配置，在我读到的关于 Lastpass 的文章中，他们也没有解释他们从哪里接收客户端的轮数......

所以现在我们将 auth_key 原样发送到服务器......

在我的服务器端

现在我们正在创建一个新的散列来比较数据库中的散列。为什么另一个哈希？如果我理解正确，我们将哈希绑定到服务器端数据，例如密码（只有用户知道）和服务器数据的组合。

user_be_salt -> 保存在 db 中的随机数，只有服务器和获取数据库的人知道，每次成功登录时都会更改。

user_configurable_rounds -> 迭代次数，每个用户都可以选择迭代次数（就像在 Lastpass 中一样），所以攻击者还需要猜测迭代次数吗？

我很高兴听到您对此身份验证系统的看法，如果它错了，请向我解释原因并告诉我 Lastpass 做了什么，因为我不了解他们的整个身份验证流程。

我有一个用户名从后端预先填充的表单。页面加载时，用户名会显示在该username字段中。当 lastpass 加载时，它会将 更改username为保存在 lastpass 中的用户名。它看起来像一个错误，当它有一个值时，lastpass 会覆盖用户名。有没有办法防止这种情况？

在上面的视频中，预定义的用户名是baz@qux.com. 加载 lastpass 后，它变为foo@bar.com.

PS。我是开发者。我正在寻找一种方法来防止这种情况发生在我的用户身上。

当我们的用户安装了 Last Pass 后，他们登录后会看到一个带有以下标记和样式的大 div：

用户在使用 Last Pass 时无法点击我们网站中的任何内容，有人找到解决此问题的方法吗？

我们遇到了一个在这里和这里之前被问过的问题——用户更改他们的电子邮件后，LastPass 将在我们的设置页面上自动填充旧电子邮件。由于似乎没有防止这种情况发生的好方法，我们想强制 LastPass 在用户在设置页面上提交表单后询问他们是否要更改用户名。是否有任何表单字段命名约定或其他提示我们可以在 DOM 中执行此操作？

我正在使用 lastpass cli 更新自动化过程中使用的密码。我希望这些密码可以发音。是否有一个参数标志可以做到这一点？

我最近从 stripe.js v2 转移到了 stripe.js v3 / elements。作为其中的一部分，我收到了新的 CSP 错误。这些似乎不会导致条纹失败，但我想了解它们：

两者elements-inner-card-15fb9df8718486f330c3990dde96bfd7.html都controller-3984d4085075df939703ec0d22159407.html来自条纹。我不明白的script-src是undefined？

• 怎么script-src可能undefined？一个<script>元素通常有一个src，如果不是的话unsafe-inline。是什么undefined意思？

• 如何修改我的 CSP 以允许 Stripe v3？

编辑：使用 LastPass 时，该错误似乎只发生在 Firefox 上。Chrome 不显示此错误，禁用插件的 Firefox 也不显示此错误。

我在常规浏览模式下登录了 LastPass chrome 扩展。然后我打开了一个新的隐身标签，LastPass 扩展仍然知道我是谁。他们是怎么做到的？我的 chrome 扩展需要这种确切的行为。

如果您在 chrome 中安装了 Last Pass 扩展程序，它会...在某些输入字段的右侧显示一个。

我想知道：有没有办法用css隐藏这个？

我正在使用一个名为 Lastpass 的 NPM 包...它会解密 Lastpass 保险库的大部分信息，但不会解密名称、注释、用户名和密码。

字符串如下所示：

我可以看到一些 Unicode 字符，但我真的不知道这是使用什么加密......我希望它不是自定义不可解密的 :(