Forsker: Chrome, Safari Password Managers Need Work

Googles Chrome og Apples Safari-browsere kunne gøre et bedre arbejde med at beskytte adgangskoder, ifølge en sikkerhedsforsker, der udlod en undersøgelse af browseradgangskodeadministratorer fredag.

"Safari og Chrome er hovedsageligt bundet til den værste adgangskodeadministrator indbygget i en stor webbrowser ", sagde Robert Chapin, formand for Chapin Information Services, i sin rapport, der kiggede på de typer sikkerhedskontrol browsere brugte til at sikre, at de sendte brugernavn og adgangskodeoplysninger til legitime websteder i stedet for kloge hackere.

For to år siden rapporterede Chapin en bredt offentliggjort adgangskodeadministratorfejl i Firefox-browseren, der var kritisk af Mozilla-udviklere. Fejlen blev brugt af angribere på MySpace.com-webstedet, som havde oprettet en falsk login-side for at stjæle kontooplysninger fra brugere af socialnetværket.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Firefox har nu gjort meget for at forbedre sin adgangskodeadministrator, men alle disse produkter er stadig langt fra perfekte, sagde Chapin i et interview. "Skal alle sætte 100 procent implicit tillid til hver adgangskode manager?" spurgte han. "Overhovedet ikke."

Et problem er, at dagens adgangskode ledere kan blive narret til at indsende forskellige adgangskode credentials til forskellige dele af samme websted. Det var hvad hackere gjorde med MySpace-angrebet, og sendte en falsk adgangskode på en MySpace-side. Da både de falske og virkelige login-formularer var på myspace.com-domænet, kunne browsere som Firefox blive lurt til automatisk at sende loginoplysninger til svindlere. Denne fejl er blevet rettet i Firefox nu, men Chrome og Safari er stadig sårbare over for lignende angreb.

Et andet problem er, at browsere vil sende adgangskoder beregnet til et domæne, f.eks. Google.com, til et andet domæne - siger Myspace. com - uden advarsel brugeren, sagde han. Det skyldes, at browser-beslutningstagere antager, at den side, der spørger om adgangskoden, skal have tillid til, selvom den sender adgangskoden til et andet domæne, sagde han.

Chapin siger, at han bruger Opera-adgangskodeadministratoren, fordi det gør et bedre job med at lade ham gem adgangskoder til bestemte websider. Han har udgivet en online test, hvor brugerne kan teste sikkerheden for deres egne adgangskodeforvaltere.

Robert Hansen, administrerende direktør for Web Security Consultancy SecTeory, sagde, at sikkerhedssamfundet i flere år har vidst, at browsernes adgangskodeforvaltere er usikre. Dette skyldes hovedsagelig, at browserne selv er sårbare over for så mange forskellige typer angreb. "De er ikke en god ide fra et sikkerhedsperspektiv, når de er integreret i browseren," sagde han via instant message. "Browseren selv er ikke designet til at stoppe en stor del af udbytter, der muliggør adgang til adgangskode. Uden disse udnyttelser ville adgangskodeadministratorer ikke virke."