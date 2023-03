"Bitwarden accepts iframe auto filling because many popular websites use this model, for example icloud.com uses an iframe from apple.com," Bitwarden told BleepingComputer in a statement.



"So there are perfectly valid use cases where login forms are in an iframe under a different domain."

Om het probleem in perspesctief te plaatsen: als je wachtwoorden intikt of kopieert+plakt kun je dat ook doen in een veld van een andere website.En uit https://www.bleepingcomputer.com/news/security/bitwarden-flaw-can-let-hackers-steal-passwords-using-iframes/ Bovendien verschijnen iframes niet "spontaan" op een website, daar moet wat aan vooraf gegaan zijn waardoor mogelijkerwijs ook session-cookies gestolen kunnen worden.Voor zover ik weet beschermen "autofill" wachtwoordmanagers, passkeys en FIDO2 hardware keys (in WebAuthn mode) bijvoorbeeld wel tegen BitB (Browser in the Browser) aanvallen, zoals o.a. hier uitgelegd: https://isc.sans.edu/diary/HTML%20phishing%20attachment%20with%20browser-in-the-browser%20technique/29556 . Hier zijn mensen duidelijk in het nadeel.Kortom, niet verwaarloosbaar maar m.i. geen spectaculaire ontdekking van Flashpoint.