Forskare: Chrome, Safari Lösenordshanterare behöver arbeta

Googles Chrome och Apples Safari-webbläsare skulle kunna göra ett bättre jobb för att skydda lösenord, enligt en säkerhetsforskare som släppte en undersökning av lösenordshanterare för webbläsare fredag.

"Safari och Chrome är i grunden knutna till den värsta lösenordshanteraren inbyggd i en stor webbläsare ", säger Robert Chapin, ordförande för Chapin Information Services, i sin rapport, som tittade på vilka typer av säkerhetskontroller som webbläsare använde för att se till att de skickade användarnamn och lösenordsinformation till legitima webbplatser istället för snabba hackare.

För två år sedan rapporterade Chapin ett allmänt publicerat lösenordshanteringsfel i Firefox-webbläsaren, som kritiserades av Mozilla-utvecklare. Buggen användes av angripare på MySpace.com-webbplatsen som hade skapat en falsk inloggningssida för att stjäla kontoinformation från användare på den sociala nätverkssidan.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Firefox har nu gjort mycket för att förbättra lösenordshanteraren, men alla dessa produkter är fortfarande långt ifrån perfekta, sa Chapin i en intervju. "Borde alla sätta 100 procent implicit förtroende i varje lösenordschef?" han frågade. "Inte alls."

Ett problem är att dagens lösenordshanterare kan luras på att skicka in olika lösenordsuppgifter till olika delar av samma webbplats. Det var vad hackare gjorde med MySpace-attacken, och skickade in ett felaktigt lösenordsformulär på en MySpace-sida. Eftersom både de falska och verkliga inloggningsformulären var på myspace.com-domänen kunde webbläsare som Firefox luras automatiskt till att skicka inloggningsinformation till bedrägerierna. Det här felet har fixats i Firefox nu, men Chrome och Safari är fortfarande känsliga för liknande attacker.

Ett annat problem är att webbläsare skickar lösenord för en domän, till exempel Google.com, till en annan domän - säg Myspace. com - utan varning användaren, sa han. Det beror på att webbläsare beslutar att sidan som frågar efter lösenordet bör lita på, även om det skickar lösenordet till en annan domän, sa han.

Chapin säger att han använder Operationslösenordshanteraren eftersom det gör ett bättre jobb att låta honom spara lösenord för specifika webbsidor. Han har skrivit ett online-test där användarna kan testa säkerheten för sina egna lösenordshanterare.

Robert Hansen, VD för Web Security Consultancy SecTeory, sa att säkerhetsgemenskapen har känt i flera år nu att webbläsarens lösenordshanterare är osäkra. Detta beror främst på att webbläsarna själva är sårbara för så många olika typer av attacker. "De är inte en bra idé från ett säkerhetsperspektiv när de är integrerade i webbläsaren", sa han via snabbmeddelande. "Webbläsaren själv är inte utformad för att stoppa en stor del av exploater som möjliggör lösenordsstöldstjärna. Utan dessa utnyttjanden skulle lösenordshackarna inte fungera."