Forsker: Chrome, Safari Passordbehandlere trenger arbeid

Googles Chrome og Apples Safari-nettlesere kan gjøre en bedre jobb med å beskytte passord, ifølge en sikkerhetsforsker som utgitt en undersøkelse av nettleserpassordforvaltere fredag.

"Safari og Chrome er i hovedsak knyttet til den verste passordbehandleren som er innebygd i en stor nettleser, "sa Robert Chapin, president for Chapin Information Services, i sin rapport, som så på hvilke typer sikkerhetskontroller nettleserne brukte for å sikre at de sendte brukernavn og passordinformasjon til legitime nettsteder i stedet for smarte hackere.

For to år siden rapporterte Chapin en allment publisert passordbehandling feil i Firefox-nettleseren, vurdert kritisk av Mozilla-utviklere. Feilen ble brukt av angripere på MySpace.com-nettstedet som hadde opprettet en falsk innloggingsside for å stjele kontoinformasjon fra brukere av nettsiden for sosiale nettverk.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Firefox har nå gjort mye for å forbedre sin passordbehandling, men alle disse produktene er fortsatt langt fra perfekte, sa Chapin i et intervju. "Skal alle sette 100 prosent implisitt tillit til hver passord manager?" spurte han. "Ikke i det hele tatt."

Et problem er at dagens passordadministratorer kan bli lurt til å sende inn forskjellige passordinformasjon til ulike deler av samme nettsted. Det var det som hackere gjorde med MySpace-angrepet, og sendte inn en falsk passordoppføringsskjema på en MySpace-side. Fordi både de falske og virkelige påloggingsskjemaene var på myspace.com-domenet, kunne nettlesere som Firefox bli lurt til automatisk å sende innloggingsinformasjon til svindlere. Denne feilen har blitt løst i Firefox nå, men Chrome og Safari er fortsatt sårbare for lignende angrep.

Et annet problem er at nettlesere vil sende passord beregnet for ett domene, for eksempel Google.com, til et annet domene - si Myspace. com - uten advarsel brukeren, sa han. Det skyldes at nettleser beslutningstakere antar at siden som ber om passordet, bør stole på, selv om den sender passordet til et annet domene, sa han.

Chapin sier at han bruker Opera-passordsadministratoren fordi det gjør en bedre jobb med å la ham lagre passord for bestemte websider. Han har lagt ut en online-test der brukerne kan teste sikkerheten til sine egne passordforvaltere.

Robert Hansen, administrerende direktør for Web Security Consultancy SecTeory, sa at sikkerhetssamfunnet har kjent i flere år nå at nettleserens passordansvarlige er usikre. Dette skyldes hovedsakelig at nettleserne selv er sårbare for så mange forskjellige typer angrep. "De er ikke en god ide fra et sikkerhetsperspektiv når de er integrert i nettleseren," sa han via direktemeldinger. "Nettleseren i seg selv er ikke designet for å stoppe en stor del av utnytter som aktiverer passordstyveri-tyveri. Uten disse utnyttelsene, ville passordbehandlerhackene ikke virke."