Výzkumník: Chrome a Safari Password Managers potřebují práci

Prohlížeče Google Chrome a Apple Safari by mohli lépe pracovat s ochranou hesel, tvrdí bezpečnostní výzkumník, který v pátek vydal studie správců hesel pro prohlížeče.

"Safari a Chrome jsou v zásadě vázáni pro nejhorší správce hesel zabudovaný do "říká Robert Chapin, prezident společnosti Chapin Information Services, ve svém zprávě, který se zabývá typy prohlížečů bezpečnostních kontrol, které používají k tomu, aby se ujistili, že zasílají informace o uživatelských jménech a heslech legitimní webové stránky namísto chytrých hackerů.

Před dvěma lety Chapin hlásil v prohlížeču Firefox široce propagovanou chybu správce hesel, kterou kritizovali vývojáři Mozilly. Chyba byla použita útočníky na webu MySpace.com, kteří si vytvořili falešnou přihlašovací stránku k odcizení informací o účtech od uživatelů webu sociálních sítí.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Firefox nyní udělal hodně, aby vylepšil svého správce hesel, ale všechny tyto produkty jsou stále daleko od dokonalé, řekl Chapin v rozhovoru. "Má každý dát 100 procent implicitní důvěru do každého správce hesel?" zeptal se. "Vůbec ne."

Jedním z problémů je, že dnešní správci hesel mohou být podvedeni k tomu, aby odesílali různá pověření k heslu na různé části stejného webu. To je to, co hackeři udělali s MySpace útokem, když na stránku MySpace odeslali falešný formulář pro zadání hesla. Protože jak falešné, tak skutečné přihlašovací formuláře byly na doméně myspace.com, prohlížeče jako Firefox by mohli být podvedeni k automatickému odesílání přihlašovacích informací podvodníkům. Tato chyba byla opravena v prohlížeči Firefox, ale Chrome a Safari jsou stále zranitelné vůči podobným útokům.

Dalším problémem je, že prohlížeče budou posílat hesla určená pro jednu doménu, např. Google.com, do jiné domény - například Myspace. com - bez varování uživatele, řekl. Je to proto, že výrobci prohlížečů předpokládají, že by se měla důvěřovat stránce, která žádá o heslo, a to iv případě, že posílá heslo do jiné domény, říká.

Chapin říká, že používá správce hesel, protože dělá lepší práci, uložte hesla pro konkrétní webové stránky. On poslal online test, kde uživatelé mohou otestovat bezpečnost svých vlastních správců hesel

Robert Hansen, generální ředitel poradce pro bezpečnost webových aplikací SecTheory, uvedl, že bezpečnostní komunita již několik let věděla, že správci hesel v prohlížeči nejsou nebezpečné. Důvodem je to především proto, že samotné prohlížeče jsou citlivé na tolik různých druhů útoků. "Nejsou to skvělý nápad z bezpečnostní perspektivy, jakmile budou integrováni do prohlížeče," řekl prostřednictvím okamžité zprávy. "Samotný prohlížeč není určen k tomu, aby zastavil velké množství exploitů, které umožňují krádež správce hesel. Bez těchto zneužití by správce hesel nefungoval."