Googleov Chrome uvid u korisnikove lozinke pruža bilo kome

Google Chrome ima veliku sigurnosnu manu, koje su možda svjesni tek napredni korisnici ovog internet preglednika. Naime, uz jednostavnih par klikova bilo ko osim vlasnika računala je u mogućnosti otkriti sve korisničke lozinke koje je Chrome upamtio – jer ih sprema kao običan tekst. Najgore od svega jest to što je ovo svjesna odluka inženjera…

 

 

…a sve kako bi navodno osvijestili korisnike i ne pružili im “lažan osjećaj sigurnosti”. Problem je postao još tragikomičniji kada je jedan developer Elliott Kember odlučio prebaciti svoje korisničke podatke iz Safari preglednika u Chrome. Kember je otkrio kako je opcija prilikom prebacivanja spremljenih adresa i postavki vezana za lozinke bila zasivljena – i obavezna. Istovremeno, otkrio je i to kako je jednostavnim klikom na show moguće otkriti sve lozinke koje je korisnik imao za određene adrese (a spremljene su u preglednik) – bez ikakve potrebe za traženjem korisničkih podataka, glavnom lozinkom ili bilo kakvim drugim stepenom sigurnosti. Problematično je to što preglednik niti u jednom trenutku korisnika ne obavještava koliko je ranjiv ako se odluči kliknuti na “Save Password”.

Google nezavisno o tome ne planira promijeniti politiku oko ovoga, što je tužno – i praktično potpuna ludost. Kako bi se otkrilo koliki je ovo zapravo problem, dovoljno je otići na računalo nekog drugog, otvoriti u Chromeu chrome://settings/passwords (ili dužom rutom klikati na settings -> show advanced settings -> manage saved passwords) i odabrati show password za bilo koju unesenu adresu. Kember zaključuje mislima da bi bilo zgodno demonstrirati koliko je ovo loše, iako je za pristup naravno potrebno imati računalo tog drugog korisnika. Premda ova teška sigurnosna rupa nije neka novost za napredne korisnike i developere, ono što je novost jest svakako u očima mnogih korisnika koji svakodnevno za posjećene adrese spremaju korisničke podatke – a bez imalo sumnje u sigurnost svojih podataka.

Tim Berners-Lee, poznatiji kao čovjek iza kojeg stoji stvaranje World Wide Weba je reagovao na Kemberov tekst i Googleove poteze tek jednostavnom porukom na društvenoj mreži Twitter:

How to get all you big sister's passwords http://blog.elliottkember.com/chromes-insane-password-security-strategy  … and a disappointing reply from Chrome team. 

Ni internet preglednik Firefox nije vakcinisan protiv ovoga, iako za razliku od Googleovog rješenja pruža barem mogućnost stavljanja glavne lozinke kojom bi se zaštitili spremljeni podaci. Ta mogućnost je deaktivirana po instalaciji preglednika i potrebno ju je aktivirati naknadno, što opet korisnicima nije dano na znanje – i što je u suštini svega možda najveći problem – manjak informacija za prosječnog korisnika. Za one znatiželjne, Safari i Internet Explorer od korisnika traže provjeru tražeći lozinku sistema. Eventualni problemi s gostima na računaru se mogu izbjeći upravo tako – korišćenjem Guest računa u operativnom sistemu, a za ostale tek preporuka da se lozinke ne ostavljaju spremljene na drugim računarima.


 

Izvor: tportal.hr

www.klick-ba.com