Chrome a Safari by potřebovaly lepší správu hesel

Na své vlastní stránce v sociální síti může útočník vytvořit podvodný přihlašovací formulář a protože stránka bude v příslušné doméně, mají prohlížeče tendenci automaticky odesílat přihlašovací údaje. Jiný problém je sdílení hesel mezi různými doménami tak, že o tom uživatel není informován.



Společnost Chapin Information Services zveřejnila studii, která kritizuje práci s hesly v prohlížečích Google Chrome a Safari. Prezident této společnosti Robert Chapin objevil již před dvěma lety kritickou chybu tohoto typu ve Firefoxu.
Prohlížeče podle Chapina nedostatečně ověřují, komu se vlastně uživatelské jméno a přístupové heslo v případě automatického zadávání posílá, zda legitimnímu serveru, nebo podvodníkovi. Tak v případě Firefoxu se před dvěma lety podařilo odchytávat přihlašovací údaje odesílané na MySpace.com.
Chapin v aktuální studii tvrdí, že Firefox je v tomto ohledu již v pořádku, zato Chrome a Safari mají problémy. Především tam, kde různé části jednoho serveru vyžadují různá přístupová hesla. Na své vlastní stránce v sociální síti může útočník vytvořit podvodný přihlašovací formulář a protože stránka bude v příslušné doméně, mají prohlížeče tendenci automaticky odesílat přihlašovací údaje k vlastnímu účtu. Jiný problém je sdílení hesel mezi různými doménami tak, že o tom uživatel není informován.
Chapin sám používá pro práci s hesly Operu, která má podle něj práci s přihlašovacímu údaji vyřešenu nejlépe.
Test vlastního správce hesel si lze zkusit zde

Robert Hansen, CEO konzulatční firmy SecTheory, pro americký Computerworld dodal, že samotná myšlenka integrovat správu hesel do webového prohlížeče není dobrá, když pro tento typ aplikací tak často vznikají exploity.

Zdroj: Computerworld.com










Komentáře