blogo, informazione indipendente
Logo Blogosfere

Svelare le password nascoste dagli asterischi

Davide Denicolo avatar Mercoledì 21 Novembre 2007, 17:00 in Browser, Sicurezza di Davide Denicolo
Una delle poche convenzioni adottate da tutti i browser è l'offuscamento del campo Password. Infatti, qualora il sito web contenga tag HTML di tipo <input type="password"..il software provvede in automatico a sostituire le lettere della parola chiave, con un numero identico di asterischi, evitando che chiunque possa leggere la vostra password.

Talvolta mi è capitato di trovarmi d'innanzi ad un form di autenticazione con la password già popolata, senza ricordarmi quale fosse.

Quali sono le possibili soluzioni per recuperarla?
  • Utilizzare uno sniffer di rete per intercettare le richieste POST ( non è valido per i canali HTTPS)
  • Interrogare il password manager qualora sia previsto ( Firefox lo possiede, Internet Explorer no )
Esiste una terza alternativa e a questo ci viene incontro Javascript.
Basta posizionarsi sulla pagina contenente il campo nascosto, inserire nella barra degli indirizzi questa funzione Javascript e premere INVIO:

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Password:\n\n" + s); else alert("Non ci sono campi password.");})(); 

La password verrà visualizzata istantaneamente in un popup e funziona sia con Internet Explorer che con Opera e Firefox
11
11 commenti
11
01 Ott 2009
alle 11:20

Gabrixsoftware

Con i programmi contenuti nel sito non si puo fare niente del genere, spia dell'informatica è un modo di dire, non significa che puoi spiare gli altri, impara ad usare le password, a nascondere cose nelle immagini, a mettere al sicuro dati, prima di accusare informati sul sito, con le info presenti in esso non puoi fare del male a nessuno...

Visto che sei cosi bravo, accusa la persona giusta...

10
09 Set 2009
alle 18:39

loris

graz.. al tuo programma ce una persona ke entra nelaa chat europa ..ke spia privati e profili permettendosi cosi di fare cose non molto belle ad esempio come fare prestazioni erotike con vlgarita .... graz..al tuo programma questa persona sta facendo del male molte persone e questo non e giusto ne bello il suo nik e cuoreneroazzuro ora il suo numero 333658454 visto ke sei cosi bravo ora cerca di fermalo graz.. molto gentile

9
20 Mar 2009
alle 12:53

Gabrixsoftware

Il nuovo sito della gabrixsoftware è www.gabrixsoftware.altervista.org

8
10 Dic 2008
alle 20:03

GabrixSoftware

www.gabrixsoftware.helloweb.eu tutto quello che ti serve per diventare una spia dell'informatica!

Tanti articoli su informatica pc e password... cosa aspetti!

7
28 Mar 2008
alle 21:07

Miki

Esistono dei programmi apposta per quello, senza usare il javascript

6
27 Nov 2007
alle 19:29

Davide Denicolo

Gilbo: ottima osservazione, grazie

5
27 Nov 2007
alle 17:39

Gilbo

In effetti ho trovato utile modificare il controllo

if (f[i].type.toLowerCase() == "password")

in

if (f[i].type && f[i].type.toLowerCase() == "password")

così evitiamo l'errore segnalato da Nello.

4
22 Nov 2007
alle 13:11

nikk85

va solo con alcuni siti!

3
21 Nov 2007
alle 23:53

Elisir81

si funziona! io l'ho provato, ma nn con tutti i siti, ad esempio nn sono riuscita con alice...

2
21 Nov 2007
alle 22:41

Davide Denicolo

Nello: piazzati per esempio su www.libero.it, inserisci user e pass senza effettuare login ed inserisci il codice riportato nell'articolo

1
21 Nov 2007
alle 21:28

Nello

Sembra non funzionare

Linea 1

Carattere 123 '

'type' è nullo o non è un oggetto

Lascia il tuo commento

Accedi con Facebook Esci da Facebook

Attendere la pubblicazione del commento

Articoli più letti

Seguici

Iscriviti ai nostri feed rss. Leggi in tempo reale tutti i post pubblicati dal blogger!

Post in evidenza su Blogosfere

Posto fisso monotono: solo per i figli dei ministri

Canone Rai: cosa succede se non lo paghi

Twitter, come riconoscere un account fake

Google si mangia Apple: assume i suoi dipendenti

Maltempo e gelo: a Roma pericolo ghiaccio

Combattere il freddo: ecco tutti i consigli utili