Kutató: A Chrome, a Safari jelszókezelőknek szüksége van a munkahelyre

A Google Chrome és az Apple Safari böngészői jobb munkát tudtak tenni a jelszavak védelmében, egy biztonsági kutató szerint, amely egy pénteken megjelentette a böngésző jelszókezelőinek tanulmányát.

"A Safari és a Chrome lényegében a legrosszabb jelszókezelőhöz van kötve egy nagy böngésző "- mondta Robert Chapin, a Chapin Information Services elnöke beszámolójában, amely megvizsgálta a biztonsági ellenőrző böngészők típusát, amelyek annak biztosítására szolgáltak, hogy a felhasználónév és a jelszó adatait legitim webhelyekhez küldték az okos hackerek helyett.

Két évvel ezelőtt Chapin bejelentett egy széles körben nyilvánosságra hozott jelszókezelő hibát a Firefox böngészőben, a kritikusok szerint a Mozilla fejlesztői. A hibát a MySpace.com weboldalán lévő támadók használják, akik egy hamis bejelentkezési oldalt állítottak fel a számlázási adatok ellopásához a társas hálózati oldal felhasználói számára.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A Firefox most sokat tett a jelszókezelő javítása érdekében, de ezek mindegyike még mindig messze nem tökéletes, Chapin egy interjúban elmondta. "Mindenki köteles 100 százalékos implicit bizalmat hozni minden jelszókezelőben?" kérdezte. "Egyáltalán nem."

Az egyik probléma az, hogy a mai jelszókezelőket becsapják a különböző jelszó-hitelesítő adatoknak az ugyanazon weboldal különböző részeihez történő benyújtásával. A hackerek ezt megtették a MySpace-támadással, egy hamis jelszóbeviteli űrlapot küldtek egy MySpace-oldalra. Mivel mind a hamis, mind a valódi bejelentkezési formanyomtatványok a myspace.com domainjén voltak, a böngészők, mint a Firefox, becsaphatják a bejelentkezési adatokat a csalóknak. Ez a hiba mostantól a Firefoxban van rögzítve, de a Chrome és a Safari továbbra is sebezhetőek hasonló támadásokkal szemben.

Egy másik probléma az, hogy a böngészők egy domainhez, a Google.com-hoz például egy másik domainhez - például a Myspace-nek - küldenek jelszavakat. com - figyelmeztetés nélkül a felhasználó, mondta. Ez azért van így, mert a böngészők úgy vélik, hogy a jelszó megadását kérő oldalt megbízni kell, még akkor is, ha elküldi a jelszót egy másik tartománynak.

Chapin szerint az Opera jelszókezelőt használja, mert jobb munkát végez bizonyos weboldalak jelszavainak mentése. Ő küldött egy online tesztet, ahol a felhasználók tesztelhetik a saját jelszókezelőik biztonságát.

Robert Hansen, a SecTheory biztonsági tanácsadója vezérigazgatója elmondta, hogy a biztonsági közösség már évek óta ismert, hogy a böngésző jelszókezelői nem biztonságosak. Ez főként azért van, mert a böngészők maguk is sebezhetők az ilyen típusú támadásokkal szemben. "Ezek nem egy nagyszerű ötlet a biztonsági szempontból, ha be vannak építve a böngészőbe" - mondta azonnali üzenetben. "A böngészőt nem úgy tervezték, hogy megakadályozza a jelszókezelő ellopását lehetővé tevő nagy értékű műveleteket, a kizárások nélkül a jelszókezelő hackjai nem működnének."