Chapin Enformasyon Hizmetleri başkanı Robert Chapin, web tarayıcılarının şifre bilgilerini, kurnaz bilgisayar korsanları yerine yasal sitelere yollayıp yollamadığından emin olmak için, web tarayıcılarının kullandıkları her tür güvenlik kontrollerini inceledikten sonra hazırladığı raporda, Safari ve Chrome web tarayıcılarının, yerleşik şifre yöneticilerinden en kötülerine sahip olduğunu söyledi.
İki yıl önce Chapin, Mozilla yazılım geliştiricileri tarafından kritik olarak adlandırılan ve Firefox web tarayıcısının bir şifre yöneticisi hatasına raporunda yer vermişti. Bu hata, MySpace kullanan kullanıcıların hesap bilgilerini çalmak amacıyla, MySpace.com'un web sitesine sahte bir oturum açma ekranı kuran bilgisayar korsanları tarafından istismar edilmişti.
Google Chrome İncelemesi
"Herkes tüm şifre yöneticilerine gözü kapalı olarak yüzde yüz güvenmek zorunda mı? Hiç sanmıyorum." diyen Chapman, Firefox'un, şifre yöneticisini geliştirmek için, çok sıkı çalıştığını fakat tüm bu ürünlerin mükemmel olmanın çok uzağında olduğunu söyledi.
Şifre korumasında karşılaşılan sorunlardan biri, günümüzün şifre yöneticilerinin, aynı web sitelerinin farklı bölümlerine farklı şifre bilgileri göndermek üzere aldatılabilmesi. MySpace saldırılarında bilgisayar korsanlarının yaptığı da tam olarak buydu. Bir MySpace sayfasına sahte bir oturum açma ekranı koyarak, kullanıcıların şifrelerini çaldılar. Bu saldırıda, hem gerçek hem de sahte oturum açma ekranı myspace.com'un domain'inde bulunuyordu. Firefox gibi web tarayıcıları, bu tip aldatıcı oturum açma ekranlarına şifre bilgilerini otomatik olarak göndermek üzere aldatılabiliyor. Firefox'un bu hatası düzeltildi fakat Chrome ve Safari, hala bu tip saldırılara karşı savunmasızlar.
Diğer bir problem ise, web tarayıcıların, örneğin Google.com gibi bir domain'den, MySpace.com gibi bir domaine kullanıcıyı uyarmadan kullanıcının şifre bilgilerini gönderebilmeleridir. Chapin, bunun nedeni web tarayıcı geliştiricilerinin, şifre bir başka domaine gönderilse bile, şifreyi soran sayfanın güvenilir olduğunu tahmin etmelerinden kaynaklandığını söyledi.
Chapin, belli sayfalarda kullanıcıya kendi şifrelerini kaydetme olanağı tanıma konusunda daha başarılı olduğundan, Opera şifre yöneticisini kullandığını söyledi. Chapin, ayrıca kullanıcıların kendi şifre yöneticilerinin güvenliğini test edebilecekleri online bir testi de internette yayımlamakta olduklarını belirtti.
Web güvenlik danışmanlığı şirketi SecTheory'nin CEO'su Robert Hansen, web tarayıcı şifre yöneticilerinin güvenli olmadığının güvenlik yazılımları geliştiricilerince yıllardır bilinen bir gerçek olduğunu söyledi. Bunun ana nedeninin, aslında web tarayıcılarının da birçok farklı türdeki saldırıya açık olmalarından kaynaklandığını belirtti. Web tarayıcılarının şifre yöneticisi hırsızlığına neden olan saldırıları engelleyebilecek şekilde tasarlanmadığını söyleyen Hansen, bu saldırılar olmadan bilgisayar korsanlarının başarısız olacaklarını altını çizdi.