Naukowiec: Chrome, Safari Menedżerowie hasła potrzebują pracy

Przeglądarka Google Chrome i Apple Safari może lepiej chronić hasła, wynika z badań przeprowadzonych przez analityka bezpieczeństwa, który opublikował analizę piątkowych menedżerów haseł do przeglądarek.

"Safari i Chrome są w istocie powiązane z najgorszym wbudowanym menedżerem haseł główna przeglądarka internetowa "- powiedział w swoim raporcie Robert Chapin, prezes Chapin Information Services, który przyglądał się rodzajom przeglądarek sprawdzających bezpieczeństwo używanych do upewnienia się, że wysyłają one nazwy użytkowników i hasła do legalnych stron internetowych zamiast sprytnych hakerów.

Dwa lata temu Chapin zgłosił szeroko nagłośnioną usterkę menedżera haseł w przeglądarce Firefox, krytycznie ocenionej przez twórców Mozilli. Błąd został wykorzystany przez osoby atakujące na stronie internetowej MySpace.com, która utworzyła fałszywą stronę logowania, aby wykraść informacje o koncie od użytkowników portalu społecznościowego.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Firefox zrobił teraz wiele, aby ulepszyć swojego menedżera haseł, ale wszystkie te produkty wciąż są dalekie od doskonałości, powiedział Chapin w wywiadzie. "Czy każdy powinien w 100% ufać niejawnemu zaufaniu każdego menedżera haseł?" on zapytał. "Wcale nie."

Jednym z problemów jest to, że dzisiejszych menedżerów haseł można oszukać, przesyłając różne poświadczenia hasła do różnych części tej samej witryny sieci Web. To właśnie zrobili hakerzy podczas ataku MySpace, publikując fałszywy formularz podania hasła na stronie MySpace. Ponieważ zarówno fałszywe, jak i prawdziwe formularze logowania znajdowały się w domenie myspace.com, przeglądarki takie jak Firefox mogły zostać wykorzystane do automatycznego wysyłania informacji logowania do oszustów. Ten błąd został już naprawiony w Firefoksie, ale Chrome i Safari wciąż są podatne na podobne ataki.

Kolejny problem polega na tym, że przeglądarki wysyłają hasła przeznaczone dla jednej domeny, na przykład Google.com, do innej domeny - np. Myspace. com - bez ostrzeżenia użytkownika, powiedział. Dzieje się tak, ponieważ twórcy przeglądarki zakładają, że strona pytająca o hasło powinna być zaufana, nawet jeśli wysyła hasło do innej domeny, powiedział.

Chapin mówi, że używa menedżera haseł Opera, ponieważ lepiej mu pozwala go zapisywać hasła dla określonych stron internetowych. Opublikował test online, w którym użytkownicy mogą przetestować bezpieczeństwo swoich menedżerów haseł.

Robert Hansen, CEO konsultant ds. Bezpieczeństwa sieci SecTheory, powiedział, że społeczność bezpieczeństwa od kilku lat wie, że menedżer haseł do przeglądarek nie jest bezpieczny. Dzieje się tak głównie dlatego, że same przeglądarki są podatne na tak wiele różnych rodzajów ataków. "Nie są świetnym pomysłem z punktu widzenia bezpieczeństwa, gdy są zintegrowane z przeglądarką", powiedział za pośrednictwem wiadomości błyskawicznych. "Sama przeglądarka nie jest zaprojektowana do zatrzymywania dużej części exploitów, które umożliwiają kradzież menedżera haseł. Bez tych exploitów hacki menedżera haseł nie działałyby."