Tagapagpanaliksik: Chrome, Safari Mga Tagapamahala ng Password Kailangan ng Trabaho

Maaaring gawin ng Google Chrome at Apple's Safari browser ang isang mas mahusay na trabaho ng pagprotekta ng mga password, ayon sa isang security researcher na naglabas ng isang pag-aaral ng mga tagapamahala ng password ng browser Biyernes.

"Safari at Chrome ay mahalagang nakatali para sa pinakamasama tagapamahala ng password na binuo isang pangunahing Web browser, "sabi ni Robert Chapin, presidente ng Chapin Information Services, sa kanyang ulat, na tumingin sa mga uri ng mga tseke ng seguridad na ginagamit ng mga browser upang matiyak na sila ay nagpapadala ng impormasyon ng username at password sa mga lehitimong Web site sa halip ng mga matalino na hacker.

Dalawang taon na ang nakakaraan ay iniulat ni Chapin ang isang malawak na na-publicize na password manager na kapintasan sa browser ng Firefox, na nirerekomenda ng mga kritiko ng mga developer ng Mozilla. Ang bug ay ginamit ng mga attackers sa MySpace.com Web site na nag-set up ng isang pekeng pahina sa pag-login upang magnakaw ng impormasyon ng account mula sa mga gumagamit ng social-networking site.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Nagawa na ngayon ang Firefox upang mapabuti ang tagapamahala ng password nito, ngunit ang lahat ng mga produktong ito ay malayo pa rin sa perpekto, sinabi ni Chapin sa isang pakikipanayam. "Dapat bang ilagay ng 100 porsiyento ang lahat ng tiwala sa bawat tagapangasiwa ng password?" tanong niya. "Hindi talaga."

Ang isang problema ay ang mga tagapamahala ng password sa ngayon ay maaaring tricked sa pagsusumite ng iba't ibang mga kredensyal ng password sa iba't ibang bahagi ng parehong Web site. Iyon ang ginawa ng mga hacker sa pag-atake ng MySpace, pag-post ng isang pekeng form sa pagpasok ng password sa isang pahina ng MySpace. Dahil pareho ang pekeng at tunay na mga form sa pag-login ay nasa domain myspace.com, ang mga browser na tulad ng Firefox ay maaaring tricked upang awtomatikong magpadala ng impormasyon sa pag-login sa mga manloloko. Ang bug na iyon ay naayos na sa Firefox ngayon, ngunit ang Chrome at Safari ay mahina pa rin sa mga katulad na pag-atake.

Ang isa pang problema ay ang mga browser ay magpapadala ng mga password na sinadya para sa isang domain, halimbawa ng Google.com, sa ibang domain - sabihin Myspace. com - nang walang babala sa gumagamit, sinabi niya. Dahil ang mga gumagawa ng browser ay ipinapalagay na ang pahina na humihingi ng password ay dapat mapagkakatiwalaan, kahit na ito ay nagpapadala ng password sa isa pang domain, sinabi niya.

Sinasabi ni Chapin na gumagamit siya ng Opera password manager dahil ito ay isang mas mahusay na trabaho ng pagpapaalam sa kanya save ang mga password para sa partikular na mga pahina ng Web. Siya ay nag-post ng isang online na pagsubok kung saan ang mga gumagamit ay maaaring subukan ang seguridad ng kanilang sariling mga tagapamahala ng password.

Robert Hansen, CEO ng Web pagkonsulta sa seguridad SecTheory, sinabi na ang seguridad komunidad ay kilala para sa ilang mga taon na ngayon na browser tagapamahala ng password ay hindi ligtas. Ito ay higit sa lahat dahil ang mga browser mismo ay maaaring masugatan sa maraming iba't ibang uri ng pag-atake. "Hindi sila isang mahusay na ideya mula sa isang pananaw sa seguridad kapag isinama sila sa browser," sinabi niya sa pamamagitan ng instant message. "Ang browser mismo ay hindi idinisenyo upang pigilan ang isang malaking tipak ng mga pagsasamantala na paganahin ang pagnanakaw ng tagapamahala ng password. Kung wala ang mga pagsasamantala, ang mga hack ng tagapamahala ng password ay hindi gagana."