Week 10
Due anni fa Chapin ha segnalato un difetto di password manager ampiamente pubblicizzato nel browser Firefox, valutato critico dagli sviluppatori di Mozilla. Il bug è stato utilizzato dagli aggressori sul sito Web MySpace.com che aveva impostato una pagina di accesso fittizia per sottrarre informazioni sugli account agli utenti del sito di social networking.
[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]Firefox ha ora fatto molto per migliorare il suo gestore di password, ma tutti questi prodotti sono ancora lontani dall'essere perfetti, ha detto Chapin in un'intervista. "Tutti dovrebbero mettere il 100% di fiducia implicita in ogni gestore di password?" chiese. "Assolutamente no".
Un problema è che i gestori di password di oggi possono essere indotti a inviare credenziali di password diverse a parti diverse dello stesso sito Web. Questo è ciò che gli hacker hanno fatto con l'attacco MySpace, pubblicando un falso modulo di immissione della password su una pagina di MySpace. Poiché sia i moduli di accesso falsi che quelli reali erano presenti nel dominio myspace.com, i browser come Firefox potrebbero essere indotti a inviare automaticamente le informazioni di accesso ai truffatori. Quel bug è stato risolto in Firefox ora, ma Chrome e Safari sono ancora vulnerabili a attacchi simili.
Un altro problema è che i browser invieranno password destinate a un dominio, ad esempio Google.com, a un altro dominio, ad esempio Myspace. com - senza avvisare l'utente, ha detto. Questo perché i creatori di browser presumono che la pagina che richiede la password dovrebbe essere attendibile, anche se sta inviando la password a un altro dominio, ha detto.
Chapin dice che usa il gestore di password di Opera perché fa un lavoro migliore di lasciarlo salva le password per pagine Web specifiche. Ha pubblicato un test online in cui gli utenti possono testare la sicurezza dei propri gestori di password.
Robert Hansen, CEO di SecTheory, consulente per la sicurezza Web, ha affermato che la community della sicurezza è nota da diversi anni che i gestori di password dei browser non sono sicuri. Ciò è principalmente dovuto al fatto che i browser stessi sono vulnerabili a così tanti diversi tipi di attacco. "Non sono una grande idea dal punto di vista della sicurezza una volta integrati nel browser", ha affermato attraverso un messaggio istantaneo. "Il browser in sé non è progettato per arrestare una grossa fetta di exploit che consente il furto di password manager. Senza questi exploit, gli hack dei gestori di password non funzionerebbero."
Gov't CIO Survey: la sicurezza informatica ha ancora bisogno di lavoro
La sicurezza informatica rimane una preoccupazione principale dei CIO federali, ma i risultati finora sono misti
Utenti da SAP: Enterprise KPI di supporto hanno bisogno di più lavoro
Accordo su come valutare l'Enterprise Support è più lontano di quanto SAP pensi, ad esempio il francese utenti
Gli App Store aziendali hanno ancora bisogno di lavoro
Gli archivi di applicazioni aziendali proliferano, ma il modello rimane immaturo, secondo gli osservatori.