Legalábbis a biztonsági szakértők szerint. Az utóbbi időben többen fogalmaztak meg kritikát a Chrome által tárolt jelszavak biztonságával kapcsolatban.
A biztonsági szakértőknek nincs uborkaszezon. Mindig találnak témát, amit alaposan ki lehet vesézni. Az elmúlt napokban a Google Chrome böngésző jelszókezelése került terítékre. A problémát
Elliott Kember, egy kis angol kis app-fejlesztő céget igazgató fejlesztő, dobta be a köztudatba, ám gyorsan felkapta a sajtó. Foglakozott vele többek között a
Guardian, a
Telegraph, sőt a
Wired is.
Safariról Chrome-ra váltott ■ Kember figyelt fel a Google jelszókezelő alkalmazásának egyik biztonsági gyengeségére, amikor úgy határozott, hogy Safariról Chrome-ra vált. A Google böngészőjének telepítésekor értelemszerűen a Safariból importálta az addig elmentett adatait. Ekkor tűnt fel neki az, hogy a Chrome mindenáron be szeretné másolni a jelszavait a saját jelszótárolójába. Már ez sem volt a fejlesztő számára gömbölyű, ám akkor lepődött meg igazán, amikor rájött, hogy az átmásolt jelszavakat a Google böngészője egy gombnyomással megjeleníti.
Az első meglepetés: a jelszavakat is importálja a Chrome – nem választahtóan
(forrás: elliottkember.com) "Nincs mester jelszó, nincs biztonság, és a felhasználót sem figyelmezteti semmi, hogy a jelszava látható. Bárki, aki rendelkezik hozzáféréssel a számítógéphez (pontosabban az adott felhasználói fiókhoz), legyen az munkatárs, gyermek vagy házastárs, egyszerűen elcsenheti a jelszavakat" –
írta blogján Kember.
A második meglepetés: egy gombnyomás, és a jelszó látható (forrás: elliottkember.com, mindkét kép nagyítható) Eddig senkinek sem tűnt fel ■ A dolog azért is érdekes, mert a Chrome jelszókezelése mindig is így működött. Ám valahogy eddig senkinek sem tűnt fel, hogy ez a módszer talán nem a legbiztonságosabb.
Jason Shuh, aki a Chrome biztonsági megoldásaiért felelős csoport vezetője, a
Hacker News-on szólt hozzá a problémáról kialakult vitához. Szerinte köztudott volt, hogy a Chrome így működik. Ő ezt azzal magyarázta, hogy nem akartak a felhasználókban hamis biztonságérzetet kelteni, ami esetleg kockázatos viselkedésre ösztökélhetné őket, például akár az operációs rendszerben létrehozott felhasználói fiókjának a lazább kezelésére. Shush szerint azonban azt mindenkinek tudhatja, hogy ha másoknak is hozzáférést biztosít az operációs rendszerben létrehozott felhasználói fiókjához, akkor az bármit megtehet a fiók tulajdonosának a nevében.
Az amerikai Computerworld
megkérdezte az esetről
Andrew Stormsot, a CloudPassage IT-biztonsági cég elnökét. Storms úgy vélekedett, hogy nem igazán védhető a Google hozzáállása: attól még, hogy az operációs rendszer szintjén szabályozható a hozzáférések kezelése, még nagyon is szükség lenne egy másik védelmi rétegre. Ez alapvetően kétféle módon valósítható meg. Mivel a Chrome az operációs rendszer felhasználói fiókjaihoz tartozó adatokat, jelszavakat használja a titkosításhoz, ezért az lenne a legalapvetőbb, ha ezt a jelszót az elmentett hitelesítő adatok megjelenítése előtt bekérné a felhasználótól.
Egy fokkal erősebb biztonságot jelentene, ha be lehetne állítani egy mester jelszót, amivel a kódolás megtörténne. Ez nem ördögtől való gondolat, hiszen a Firefox is támogatja ezt a funkciót, bár alapértelmezés szerint kikapcsolt állapotban van. Nyilvánvaló, hogy egy mester jelszó sem nyújt tökéletes védelmet, de legalább a megosztott számítógépeken nem lehetne olyan egyszerűen hozzáférni a bizalmas adatokhoz.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)