Ricercatore: Chrome, Safari Password Manager ha bisogno di lavoro

I browser Chrome di Google e Safari di Apple potrebbero fare un lavoro migliore di protezione delle password, secondo un ricercatore della sicurezza che ha pubblicato uno studio sui gestori di password del browser Venerdì.

"Safari e Chrome sono essenzialmente legati al peggior gestore di password integrato un importante browser Web ", ha dichiarato Robert Chapin, presidente di Chapin Information Services, nella sua relazione, che ha esaminato i tipi di controlli di sicurezza utilizzati dai browser per assicurarsi che stessero inviando informazioni su username e password a siti Web legittimi invece che a hacker intelligenti.

Due anni fa Chapin ha segnalato un difetto di password manager ampiamente pubblicizzato nel browser Firefox, valutato critico dagli sviluppatori di Mozilla. Il bug è stato utilizzato dagli aggressori sul sito Web MySpace.com che aveva impostato una pagina di accesso fittizia per sottrarre informazioni sugli account agli utenti del sito di social networking.

[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]

Firefox ha ora fatto molto per migliorare il suo gestore di password, ma tutti questi prodotti sono ancora lontani dall'essere perfetti, ha detto Chapin in un'intervista. "Tutti dovrebbero mettere il 100% di fiducia implicita in ogni gestore di password?" chiese. "Assolutamente no".

Un problema è che i gestori di password di oggi possono essere indotti a inviare credenziali di password diverse a parti diverse dello stesso sito Web. Questo è ciò che gli hacker hanno fatto con l'attacco MySpace, pubblicando un falso modulo di immissione della password su una pagina di MySpace. Poiché sia ​​i moduli di accesso falsi che quelli reali erano presenti nel dominio myspace.com, i browser come Firefox potrebbero essere indotti a inviare automaticamente le informazioni di accesso ai truffatori. Quel bug è stato risolto in Firefox ora, ma Chrome e Safari sono ancora vulnerabili a attacchi simili.

Un altro problema è che i browser invieranno password destinate a un dominio, ad esempio Google.com, a un altro dominio, ad esempio Myspace. com - senza avvisare l'utente, ha detto. Questo perché i creatori di browser presumono che la pagina che richiede la password dovrebbe essere attendibile, anche se sta inviando la password a un altro dominio, ha detto.

Chapin dice che usa il gestore di password di Opera perché fa un lavoro migliore di lasciarlo salva le password per pagine Web specifiche. Ha pubblicato un test online in cui gli utenti possono testare la sicurezza dei propri gestori di password.

Robert Hansen, CEO di SecTheory, consulente per la sicurezza Web, ha affermato che la community della sicurezza è nota da diversi anni che i gestori di password dei browser non sono sicuri. Ciò è principalmente dovuto al fatto che i browser stessi sono vulnerabili a così tanti diversi tipi di attacco. "Non sono una grande idea dal punto di vista della sicurezza una volta integrati nel browser", ha affermato attraverso un messaggio istantaneo. "Il browser in sé non è progettato per arrestare una grossa fetta di exploit che consente il furto di password manager. Senza questi exploit, gli hack dei gestori di password non funzionerebbero."