Google Chrome slechtst in beveiligen wachtwoorden
Over het algemeen wordt Google's browser als snel en gemakkelijk gezien, maar het wachtwoordbeheer ervan zit vol ernstige fouten. Uit onderzoek van Chapin Information Services (CIS) bleken ernstige kwetsbaarheden in de beta versies te zitten, die in laatste release nog steeds niet verholpen zijn. Er zijn drie specifieke problemen, die wanneer gecombineerd, ervoor kunnen zorgen dat aanvallers de wachtwoorden van gebruikers stelen zonder dat ze hier enige weet van hebben. Zo is het onbekend waar de browser wachtwoorden heen stuurt, worden websites die de wachtwoorden vragen niet gecontroleerd en is het wachtwoordbeheer via onzichtbare "form elements" te benaderen.
Deze drie euvels, gecombineerd met zeventien andere tot nu toe onbekende problemen in Chrome's password manager, vormen een ernstig risico voor gebruikers. Op dit moment is de "wachtwoordkluis" van Opera 9.62 het veiligst, gevolgd door Firefox 3.0. Bij deze browsers zijn opties als onzichtbare "form elements" uitgeschakeld, wordt de opslag van wachtwoorden per pagina gedaan en controleert men de bestemming. Toch halen alle browsers een dikke onvoldoende, want zowel Firefox als Opera weten van de 21 punten er slechts zeven te halen. Wie twijfelt of zijn browser wél veilig met wachtwoorden omgaat, kan dat hier testen.
Ook lijkt het me niet eens zo lastig om de helft van deze tests te doorstaan door wat simpele checks in te bouwen. Dus hopelijk in het algemeen wat meer aandacht voor deze functionaliteiten en het misbruiken daarvan.
en je sitebezoek af laten hangen van terechte berichtgeving over slechte/twijfelachtige software? dont blame the messenger...
Ja want als je vrienden de sloot in springen doe jij het ook puur omdat je zelf geen besluiten kan nemen! Knuppeltje
Verder zou het artikel beter geschreven kunnen worden. Om te beginnen zou de kop al: Chrome en Opera slechtst in beveiligen wachtwoorden.
Ok hier vast de resultaten van Konqueror icm openSuSE 11.1/KDE4.2
Report
Test Performed
Result
Action Authority Checked on Retrieval PASSED
Action Authority Checked on Save PASSED
Action Authority Raises Warnings FAILED
Action Path Checked on Retrieval PASSED
Action Path Checked on Save PASSED
Action Scheme Checked on Retrieval PASSED
Action Scheme Checked on Save PASSED
Action Scheme Raises Warnings FAILED
Action Scheme Prevented if Unsafe FAILED
Autocomplete=Off Prevents Form Fills PASSED
Invisiblility Prevents Form Fills PASSED
Method Checked on Retrieval PASSED
Method Raises Warnings FAILED
Multiple Paths Per User Per Authority FAILED
Multiple Ports Per User Per Host FAILED
Multi. Schemes Per User Per Authority FAILED
Page Path Checked on Retrieval PASSED
Random Name Attr. Prevents Form Fills PASSED
User Required for PW Retrieval PASSED
User Required for PW Save FAILED
Valid URIs Don't Break Anything FAILED
12 maal een "passed" perfect dus. Als ik tijd & zin heb zal ik ook Firefox en Chrome proberen.
Report
Test Performed Result
Action Authority Checked on Retrieval FAILED
Action Authority Checked on Save FAILED
Action Authority Raises Warnings FAILED
Action Path Checked on Retrieval FAILED
Action Path Checked on Save FAILED
Action Scheme Checked on Retrieval PASSED
Action Scheme Checked on Save PASSED
Action Scheme Raises Warnings PASSED
Action Scheme Prevented if Unsafe FAILED
Autocomplete=Off Prevents Form Fills PASSED
Invisiblility Prevents Form Fills FAILED
Method Checked on Retrieval FAILED
Method Raises Warnings FAILED
Multiple Paths Per User Per Authority FAILED
Multiple Ports Per User Per Host PASSED
Multi. Schemes Per User Per Authority PASSED
Page Path Checked on Retrieval FAILED
Random Name Attr. Prevents Form Fills FAILED
User Required for PW Retrieval FAILED
User Required for PW Save FAILED
Valid URIs Don't Break Anything PASSED
7 stuks 'as expected'.
Moeilijk he om te geloven dat er meer mensen zijn met een heldere blik op de zaken...
Report
Test Performed Result
Action Authority Checked on Retrieval PASSED
Action Authority Checked on Save FAILED
Action Authority Raises Warnings FAILED
Action Path Checked on Retrieval FAILED
Action Path Checked on Save FAILED
Action Scheme Checked on Retrieval PASSED
Action Scheme Checked on Save FAILED
Action Scheme Raises Warnings FAILED
Action Scheme Prevented if Unsafe FAILED
Autocomplete=Off Prevents Form Fills PASSED
Invisiblility Prevents Form Fills FAILED
Method Checked on Retrieval PASSED
Method Raises Warnings FAILED
Multiple Paths Per User Per Authority FAILED
Multiple Ports Per User Per Host FAILED
Multi. Schemes Per User Per Authority FAILED
Page Path Checked on Retrieval FAILED
Random Name Attr. Prevents Form Fills FAILED
User Required for PW Retrieval FAILED
User Required for PW Save FAILED
Valid URIs Don't Break Anything FAILED
Ik kom tot 4 stuks, das toch mooi 100% meer dan in het artikel ;)
Wel begrijp- ik dat de resultaten veel beter zijn als de browser ondanks het opgeslagen ww dat niet weergeeft in alle vervolgpagina's, Konqueror doet dit niet en scoort zo meteen veel hoger.
http://it.slashdot.org/article.pl?sid=08%2F12%2F15%2F1424239&from=rss
Test Performed Result
Action Authority Checked on Retrieval PASSED
Action Authority Checked on Save PASSED
Action Authority Raises Warnings FAILED
Action Path Checked on Retrieval PASSED
Action Path Checked on Save PASSED
Action Scheme Checked on Retrieval PASSED
Action Scheme Checked on Save PASSED
Action Scheme Raises Warnings FAILED
Action Scheme Prevented if Unsafe FAILED
Autocomplete=Off Prevents Form Fills PASSED
Invisiblility Prevents Form Fills PASSED
Method Checked on Retrieval PASSED
Method Raises Warnings FAILED
Multiple Paths Per User Per Authority FAILED
Multiple Ports Per User Per Host FAILED
Multi. Schemes Per User Per Authority FAILED
Page Path Checked on Retrieval PASSED
Random Name Attr. Prevents Form Fills PASSED
User Required for PW Retrieval FAILED
User Required for PW Save PASSED
Valid URIs Don't Break Anything FAILED
12 passed 9 failed
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
