Исследователь: менеджеры паролей Chrome, Safari нуждаются в работе

Браузеры браузера Chrome от Google и Apple Safari могли бы лучше защищать пароли, по словам исследователя безопасности, который в пятницу опубликовал исследование менеджеров паролей браузеров.

«Safari и Chrome по существу связаны с худшим менеджером паролей, встроенным в главный веб-браузер », - сказал Роберт Чапин (Robert Chapin), президент Chapin Information Services, в своем отчете, в котором рассматривались типы проверок безопасности, которые использовались для обеспечения того, чтобы они отправляли информацию о имени пользователя и пароле на законные веб-сайты вместо умных хакеров.

Два года назад Чапин сообщил о широко известном недостатке менеджера паролей в браузере Firefox, оцененном критическими разработчиками Mozilla. Ошибка была использована злоумышленниками на веб-сайте MySpace.com, которые создали фальшивую страницу входа, чтобы украсть учетную информацию у пользователей сайта социальной сети.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Теперь Firefox многое сделал для улучшения своего менеджера паролей, но все эти продукты все еще далеки от совершенства, сказал Чапин в интервью. «Должны ли все вкладывать 100% -ное доверие в каждый менеджер паролей?» он спросил. «Совсем нет».

Одна из проблем заключается в том, что сегодняшние менеджеры паролей могут быть обмануты, отправляя разные учетные данные пароля на разные части одного и того же веб-сайта. Это то, что сделали хакеры с атакой MySpace, размещая фальшивую форму ввода пароля на странице MySpace. Поскольку и поддельные, и настоящие формы входа в систему были в домене myspace.com, браузеры, такие как Firefox, могут быть обмануты автоматической отправкой информации о регистрации мошенникам. Эта ошибка была исправлена ​​в Firefox сейчас, но Chrome и Safari по-прежнему уязвимы для подобных атак.

Еще одна проблема заключается в том, что браузеры будут отправлять пароли, предназначенные для одного домена, например Google.com, в другой домен - скажем Myspace. com - без предупреждения пользователь, сказал он. Это объясняется тем, что разработчики браузеров предполагают, что страница с запросом пароля должна быть доверена, даже если она отправляет пароль другому домену. Он сказал, что он использует диспетчер паролей Opera, потому что он лучше справляется с этим сохранять пароли для определенных веб-страниц. Он опубликовал онлайн-тест, в котором пользователи могут протестировать безопасность своих собственных менеджеров паролей.

Роберт Хансен, генеральный директор консалтинговой компании по безопасности Web Secory, сказал, что сообщество безопасности уже несколько лет знает, что администраторы паролей браузера небезопасны. Это связано главным образом с тем, что сами браузеры уязвимы для множества различных типов атак. «Они не являются отличной идеей с точки зрения безопасности, как только они интегрированы в браузер», - сказал он через мгновенное сообщение. «Сам браузер не предназначен для того, чтобы остановить большой кусок эксплойтов, которые позволяют кражу диспетчера паролей. Без этих эксплойтов взломы менеджера паролей не будут работать».