¡no Passarán

Name: Security Analysis: ¡no Passarán
Item: ¡no Passarán
Rating: 5
Author: ChromeBoard

🔍 Security Report Available

👥 4 users

📦 v3

💾 95.73KiB

📅 2025-02-25

View on Chrome Web Store

Chrome will indicate if you already have this installed.

Overview

Это плагин менеджера и генератора паролей для браузеров Firefox, Chrome, Opera и других браузеров поддерживающих XPI или CRX дополнения, а также онлайн версию ¡No PASSarán.

Плагин менеджера паролей, который не хранит сами пароли, а генерирует на лету из составляющих по заранее заданному алгоритму. Теперь не надо хранить сотни паролей ни на компе, ни в голове. При этом все пароли уникальные и взломать или украсть их почти невозможно. Достаточно иметь 1 мастер пароль, украв который у злоумышленника всё равно не получится взломать пароли от ваших сайтов.

Как пользоваться

Допустим вы придумали три части, для примера: Мастер пароль quaka42eqava, соль — имя домашнего питомца «Кузя» и алгоритм — свой номер телефона (Пароль — чувствителен к регистру, а соль и алгоритм нечувствительны к регистру). Вбиваем соль и пароль в настройки плагина и они сохранятся там. Затем переходим на интересующий нас сайт, где хотим зарегистрироваться/авторизироваться, ставим курсор на поле с паролем и нажимаем кнопочку плагина на панели браузера, после чего в появившемся окне вбиваем мастер пароль и жмём кнопку OK или Enter. Пароль будет автоматически сгененрирован и вставлен в поле, где был курсор.

Данный плагин и онлайн версию можно использовать не только для сайтов. Если вам необходим пароль для сторонней программы, то необходимо в онлайн версии или в гостевом режиме плагина поставить галочку на «Забыть про домен».

Базовые способ построения алгоритма

Для базового алгоритма доступны все буквы (русские и английские) и цифры, их надо указывать единым «словом».

0 — Доменное имя целиком (alias: a, k, u, а, й, у, э)
1 — Доменная зона целиком (alias: b, l, v, б, к, ф, ю)
2 — Первая половина домена (alias: c, m, w, в, л, х, я)
3 — Вторая половина домена (alias: d, n, x, г, м, ц)
4 — Количества символов в домене (alias: e, o, y, д, н, ч)
5 — Количества символов в зоне (alias: f, p, z, е, о, ш)
6 — Соль целиком (alias: g, q, ё, п, щ)
7 — Мастер пароль целиком (alias: h, r, ж, р, ъ)
8 — Первая половина мастер пароля (alias: i, s, з, с, ы)
9 — Вторая половина мастер пароля (alias: j, t, и, т, ь)

Расширенные способ построения алгоритма

Разумеется их можно и нужно использовать с цифрами из базового алгоритма.
Для расширенного способа обязательно использовать цифры разделённые любым символом, кроме цифр и букв. Данные алгоритмы будут дополняться.

10 — Перевернутое доменое имя целиком
11 — Перевернутая доменая зона целиком
12 — Перевернутая первая половина домена
13 — Перевернутая вторая половина домена
14 — нет
15 — нет
16 — Перевернутая соль целиком
17 — Перевернутый мастер пароль целиком
18 — Перевернутая первая половина мастер пароля
19 — Перевернутая вторая половина мастер пароля
160 — Первая половина соли
161 — Вторая половина соли
162 — Перевернутая первая половина соли
163 — Перевернутая вторая половина соли

То есть например 8-8-0-0-163-10-13

Подробнее прочитать, а также задать свои вопросы вы можете на странице http://blog.g63.ru/?p=2013

Онлайн версия https://rawgit.com/BaNru/iNoPASSaran/master/online/index.html
Firefox Addon https://addons.mozilla.org/ru/firefox/addon/inopassaran/

GitHub https://github.com/BaNru/iNoPASSaran
Bitbucket https://bitbucket.org/BaNru/inopassaran

Privacy Practices

✓ Not being sold to third parties, outside of the approved use cases

✓ Not being used or transferred for purposes that are unrelated to the item's core functionality

✓ Not being used or transferred to determine creditworthiness or for lending purposes

v3 Info Scanned Mar 3, 2026

Security Analysis — ¡no Passarán

Analyzed v3 · Mar 3, 2026 · 8 JS files · 20 KB scanned

Permissions

Code Patterns Detected

External Connections

github.com pajhome.org.uk

Package Contents 26 files · 111KB

▾📁_locales2KB

▾📁en

{}messages.json979B

▾📁ru1KB

{}messages.json1KB

▾📁_metadata4KB

{}verified_contents.json4KB

▾📁data104KB

▾📁css8KB

🎨style.css8KB

▾📁font1KB

🔤icon.woff1KB

▾📁img72KB

▾📁icon6KB

🖼128.png954B

🖼16.png283B

🖼19.png431B

🖼32.png445B

🖼38.png663B

🖼48.png568B

🖼64.png613B

🖼icon.svg2KB

🖼bg.jpg22KB

🖼mascot.png45KB

▾📁js20KB

📜background.js305B

📜core.js2KB

📜functions.js1KB

📜md5-min.js5KB

📜page.js121B

📜popup.js10KB

📜setting.js767B

📜you_shall_pass.js970B

🌐popup.html2KB

🌐setting.html524B

{}manifest.json784B

What This Extension Does

The ¡no Passarán extension, with 4 users, claims to be a privacy-focused tool under the 'Make Chrome Yours' category. However, its purpose and functionality are unclear due to the lack of a description.

Permissions Explained

activeTabcheck this: Allows the extension to access the currently active tab in the browser.
Technical: Grants access to the tabs API, enabling the extension to read and manipulate tab content. This permission poses a medium risk if compromised, as it could lead to unauthorized data exposure or manipulation of user interactions. ⚠ 1
storagecheck this: Permits the extension to store and retrieve data locally on the device.
Technical: Provides access to the storage API, enabling the extension to read and write data in various storage types (e.g., local storage, cookies). This permission poses a medium risk if compromised, as it could lead to unauthorized data exposure or manipulation of user preferences. ⚠ 1

Your Data

The extension accesses the active tab and stores data locally on the device. It also sends requests to github.com and pajhome.org.uk, but no sensitive data is explicitly mentioned in the report.

Technical Details

The extension contacts github.com and pajhome.org.uk via HTTP(S) protocols. The exact domains contacted are not specified, but these may be related to code updates or dependencies. No encryption status is provided for these connections.

Code Findings

innerHTML assignment — potential XSS vectorMedium

This finding indicates that the extension uses innerHTML assignments, which can be a potential cross-site scripting (XSS) vulnerability if not properly sanitized.

Technical: The code pattern involves assigning user-input data to an element's innerHTML property without proper sanitization. This could allow an attacker to inject malicious scripts into the page content.

💡 This pattern is commonly used in legitimate extensions for dynamic content rendering, but it requires careful handling of user input to prevent XSS attacks.

Captures keystrokesCritical

The extension captures keystrokes, which can be a significant concern for user privacy and security.

Technical: The code uses keyboard event listeners to capture keystroke data. This could allow the extension to collect sensitive information such as login credentials or other confidential data.

💡 Some legitimate extensions may use keystroke capturing for legitimate purposes, such as password management or typing assistance tools. However, this requires explicit user consent and proper handling of sensitive data.

Monitors storage changesMedium

The extension monitors storage changes, which can be a concern for user privacy and security.

Technical: The code uses the storage API to monitor changes to local storage. This could allow the extension to track user behavior or collect sensitive information stored in local storage.

💡 Some legitimate extensions may use storage monitoring for legitimate purposes, such as syncing data across devices or tracking user preferences. However, this requires explicit user consent and proper handling of sensitive data.

Bottom Line

The ¡no Passarán extension poses significant security concerns due to its unclear purpose, potential XSS vulnerability, keystroke capturing, and storage monitoring. Users are advised to exercise caution when installing this extension and consider alternative privacy-focused tools with transparent functionality.