1.5 KiB
1.5 KiB
Learnings
LRN-20260129-001: Browser-Snapshots leaken Passwort-Feld-Inhalte
Datum: 2026-01-29 Kategorie: Security / Browser Automation Schwere: Hoch
Problem
Browser-Snapshots (accessibility tree) lesen den tatsächlichen Wert von Passwort-Feldern aus, auch wenn sie visuell maskiert sind (●●●●). Der Klartext landet dann im Chat-Kontext.
Beispiel
textbox "Passwort" [ref=e19]: geheimes_passwort
Lösung
Bei Login-Flows mit Passwörtern:
- Kein Snapshot nachdem das Passwort eingefügt wurde
- Direkt auf Submit/Anmelden klicken
- Erst nach erfolgreichem Login wieder Snapshot machen
Workflow für sichere Logins
1. Snapshot (Login-Seite sehen)
2. Username eintippen
3. james-fill "entry-name" (PW ins Clipboard)
4. Ins Passwort-Feld klicken
5. Paste (Cmd+V)
6. KEIN SNAPSHOT!
7. Direkt Submit klicken
8. Snapshot (eingeloggte Seite)
WICHTIG: Niemals Passwörter im Chat wiedergeben!
Auch wenn ein Passwort versehentlich im Kontext landet:
- NIEMALS im Chat zitieren oder wiederholen
- Nicht in Erklärungen einbauen
- Nicht als Beispiel verwenden
- Einfach ignorieren und weitermachen
Das gilt auch für: API-Keys, Tokens, private Schlüssel, etc.
LRN-20260126-001: Cron-Jobs für proaktive Nachrichten
Datum: 2026-01-26 Kategorie: Cron / Messaging
Lösung
Für Telegram/WhatsApp/etc. Zustellung bei Cron-Jobs:
--session isolated(nicht main)--message "..."(nicht system-event)--deliver --channel telegram --to <id>