

Ханна Ли (Hannah Li) и Дэвид Эванс (David Evans) из университета Виргинии разработали
У Horcrux есть две особенности, которые отличают его от других менеджеров паролей. Для начала стоит отметить, как реализовано автоматическое заполнение веб-форм. Если другие продукты заполняют формы настоящими учетными данными пользователя, то Horcrux подменяет их фальшивкой. Ли и Эванс убеждены, что использование подлинных учетных данных несет большой риск, ведь в теории это позволяет вредоносному JS-скрипту считать их из формы перед отправкой.
Поэтому Horcrux подставляет в формы специальные фальшивки, которые остаются на месте до тех пор, пока пользователь не инициирует отправку формы. Лишь после этого Horcrux перехватывает HTTP POST-запрос и заменяет в нем поддельные учетные данные на настоящие.
Авторы Horcrux признают, что в целом эта идея не нова, ранее исследователи уже
Второй отличительной особенностью Horcrux является то, как менеджер хранит учетные данные. В отличие от других продуктов, Horcrux не «складывает все яйца в одну корзину» и не доверяет единому хранилищу. Вместо этого учетные данные пользователей распределяются по нескольким серверам. Таким образом, если атакующие сумеют скомпрометировать один из этих серверов, они все равно не завладеют всеми учетными данными пользователей, что минимизирует ущерб.
Более того, распределенные по серверам учетные данные имеют разделенный секрет и защищены с помощью техники
В настоящее время Horcrux доступен только в формате аддона для Firefox и пока является лишь прототипом. Найти его можно в