Xakep #305. Многошаговые SQL-инъекции
Браузеры Chrome от Google и Safari от Apple требуют существенной доработки
при обработке паролей. Такое мнение озвучил один из сетевых аналитиков,
выпустивший в прошедшую пятницу сравнительный анализ работы систем обработки
паролей, используемых в различных браузерах.
Автор работы, Роберт Чаплин, утверждает, что Safari и Chrome имеют худшие из
встраиваемых в самые распространенные браузеры менеджеры паролей. Опубликованное
им исследование затрагивает такие аспекты работы браузеров, как возможность
передачи паролей по несанкционированному адресу.
Два года назад этот человек придал огласке широко известную уязвимость в
браузере Firefox, разработчики которого признали ее критической. Баг позволял
злоумышленникам красть аккаунты на MySpace.com при помощи фальшивой страницы
авторизации.
Одной из проблем, с которой сталкиваются современные браузеры, является
возможность заполнения двух различающихся форм запроса пароля в разных частях
одного и того же ресурса. Такие приемы активно используются хакерами, потому что
данные логинов могут передаваться браузерами автоматически, без запроса или
уведомления. В браузере Firefox эта проблема уже решена, однако Chrome и Safari
все еще уязвимы к подобным атакам. Второй уязвимостью является возможность
передачи логина, предназначенного для одного сайта, другому. В этом случае
браузер считает страницу доверенной лишь потому, что она запрашивает пароль. Сам
Чаплин пользуется при веб-серфинге Opera, поскольку менеджер ввода паролей этого
браузера работает лучше всего. Пройти тест на безопасность менеджера паролей
своего браузера можно по
этому адресу.
