Araştırmacı: Chrome, Safari Şifre Yöneticileri Çalışmaya Gerek

Google Chrome ve Apple'ın Safari tarayıcıları, şifreleri korumak için daha iyi bir iş yapabilirdi. Cuma günü tarayıcı şifre yöneticileriyle ilgili bir çalışma yayınlayan bir güvenlik araştırmacısına göre.

"Safari ve Chrome, temel olarak en kötü şifre yöneticisi Büyük bir Web tarayıcısı olan "Chapin Information Services başkanı Robert Chapin, raporunda, tarayıcıların zeki bilgisayar korsanları yerine meşru Web sitelerine kullanıcı adı ve parola bilgilerini gönderdiğinden emin olmak için kullanılan güvenlik denetimleri türlerine baktı.

İki yıl önce Chapin, Firefox tarayıcısında, Mozilla geliştiricileri tarafından kritik olarak derecelendirilen, yaygın olarak yayınlanan bir şifre yöneticisi kusurunu bildirdi. Hata, sosyal ağ sitesi kullanıcılarının hesap bilgilerini çalmak için sahte bir giriş sayfası oluşturmuş olan MySpace.com Web sitesindeki saldırganlar tarafından kullanıldı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Firefox, şifre yöneticisini geliştirmek için çok şey yaptı, ancak bu ürünlerin hepsi hala mükemmel olmaktan uzak, Chapin bir röportajda söyledi. "Herkes her şifre yöneticisine yüzde yüz örtülü bir güven atmalı mı?" O sordu. "Hiç de değil."

Bir problem, bugünün şifre yöneticilerinin aynı Web sitesinin farklı bölümlerine farklı şifre kimlik bilgilerini göndermeleri için kandırılabilir olmasıdır. Hacker'ların MySpace saldırısı ile yaptığı, bir MySpace sayfasında sahte bir şifre giriş formu gönderen de buydu. Hem sahte hem de gerçek giriş formları myspace.com etki alanında olduğundan, Firefox gibi tarayıcılar otomatik olarak giriş bilgilerini dolandırıcılara göndererek kandırılabilir. Bu hata Firefox'ta şimdi düzeltildi, ancak Chrome ve Safari benzer saldırılara karşı hala savunmasız durumda.

Diğer bir sorun da tarayıcıların bir alan adı olan Google.com için şifreler gönderecek olmasıdır. Örneğin, Myspace. com - kullanıcıyı uyarmadan, dedi. Çünkü tarayıcı yapıcılar, şifreyi isteyen sayfanın, şifreyi başka bir alana göndermiş olsa bile, güvenilir olması gerektiğini söylediler.

Chapin, Opera şifre yöneticisini kullandığını çünkü daha iyi bir iş çıkardığını söylüyor. belirli web sayfaları için şifreler kaydedin. Kullanıcıların kendi şifre yöneticilerinin güvenliğini test edebileceği bir çevrimiçi test yayınladı.

Web güvenlik danışmanı SecTheory'nin CEO'su Robert Hansen, güvenlik camiasının birkaç yıldan beri tarayıcı şifre yöneticilerinin güvensiz olduğunu bildiğini söyledi. Bunun nedeni, tarayıcıların kendilerinin çok farklı saldırı türlerine karşı savunmasız olmalarıdır. "Onlar tarayıcıya entegre edildikten sonra bir güvenlik perspektifinden harika bir fikir değil," diye anlık mesaj yoluyla söyledi. "Tarayıcı kendisi, şifre yöneticisi hırsızlığını sağlayan büyük bir istismarları durdurmak için tasarlanmamıştır. Bu istismarlar olmadan, şifre yöneticisi hackleri işe yaramaz."