LastPass es un administrador de contraseñas de primera categoría que se presenta como una extensión del navegador y usa una contraseña maestra para cifrar y descifrar la base de datos de contraseñas utilizando el JavaScript. ¿Es esta una forma segura de hacerlo? ¿No es este enfoque vulnerable a cualquier ataque basado en web? ¿Cuáles pueden ser los vectores de ataque que deben considerarse al realizar estas operaciones de cripta utilizando JavaScript?
Lasspass es un complemento del navegador y no es vulnerable a los ataques MITM a su javascript como lo es un sitio web. Los recursos del complemento no se instalan de la misma manera que un sitio web solicita sus archivos javascript a través de solicitudes http.
Javascript no es inherentemente más vulnerable a ataques que no sean la naturaleza por la cual se solicita y carga el código. (MITM)
Sin embargo, puede ser considerablemente más lento que el código nativo (Internet Explorer), pero también puede ser considerablemente más rápido que las implementaciones de código nativo (el motor V8 de Chrome).
Desde el inicio de sesión en el sitio web de LastPass, el certificado HTTPS válido autentica los recursos cargados por el navegador. La autenticidad del certificado se puede confirmar mirando a la izquierda de la dirección del sitio web en la parte superior de la ventana.
La misma política de origen, junto con SSL, evita que los iframes malintencionados secuestren cualquier recurso javascript que pueda cargarse en el marco secundario.
Lea otras preguntas en las etiquetas attacks browser-extensions attack-vector