Sotto esame i "password manager" dei principali browser

Google Chrome ed Apple Safari possono fare di meglio per quanto riguarda la protezione delle password dell’utente. Sono queste le conclusioni di uno studio condotto da Robert Chapin, ricercatore nel campo della sicurezza informatica.
L’indagine di Chapin si è focalizzata sui meccanismi di controllo che i browser presi in esame effettuano per accertare che le informazioni di autenticazione (username e password dell’utente) siano inviate solo a siti web legittimi e non, malaugutamente, a siti “maligni”.

Due anni fa, lo stesso Chapin aveva ampiamente pubblicizzato una vulnerabilità nel “gestore delle password” integrato in Mozilla Firefox. La falla, classificata da Mozilla stessa come “critica” ed utilizzata da molti aggressori che avevano allestito pagine fasulle su MySpace.com con lo scopo di sottrarre agli utenti informazioni sui loro account, fu successivamente risolta.

Chapin riconosce gli sforzi riposti nell’ottimizzazione del “password manager” di Firefox ma osserva come le funzionalità per la gestione delle password siano ancora lontane dalla perfezione.

Uno dei problemi più importanti è che i password manager di oggi possono essere indotti ad inserire le credenziali di accesso in differenti parti del medesimo sito web. E’ proprio questo il concetto sul quale si sono basati gli attacchi MySpace pubblicando falsi form di login su pagine “maligne”, preparate allo scopo.
Secondo Chapin, Chrome e Safari sarebbero ancor oggi vulnerabili ad attacchi simili. Il “password manager” di Opera sarebbe invece per Chapin tra i migliori.

La pagina con i giudizi stilati da Chapin è consultabile cliccando qui.