r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nowa Opera po cichu przejmuje hasła z innych przeglądarek. Wygoda czy zagrożenie?

Strona główna AktualnościOPROGRAMOWANIE

W deweloperskim kanale wydawniczym Opery pojawiła się nowa wersja – oznaczona numerem 23.0.1522.0. Nie wzbudziłaby szczególnego zainteresowania, gdyby nie niespotykane wcześniej zachowanie programu, przez wielu użytkowników uznane za inwazyjne i naruszające ich prywatność.

Do tego, że przeglądarki nie pytając się o zgodę same się aktualizują, ich producenci zdążyli nas już przyzwyczaić. W zasadzie nie jest to nic złego – działający w tle proces niezauważalnie dla użytkownika zadba, by korzystał z wersji aktualnej, wolnej od wcześniej wykrytych usterek i luk. Opera Software zdecydowała się jednak pójść jeszcze dalej w automatyzacji przeglądarkowych procesów, sięgając bez pytania po dane zapisane w innych przeglądarkach.

Wspomniana wersja Opery przy pierwszym uruchomieniu skanuje system pod kątem zainstalowanych w nim innych przeglądarek, wyszukuje profile użytkownika i importuje z nich zakładki, ciasteczka, historię przeglądania, a nawet hasła. Jeśli w Operze mamy włączoną usługę Sync, dane te wędrują do chmury norweskiego producenta.

r   e   k   l   a   m   a

Specjalnie z tym nowym mechanizmem importu nikt się nie ukrywa. Na blogu Desktop Team Przemek Kudła pisze, że celem jego wprowadzenia było uczynienie przejścia z innych przeglądarek na Operę tak wygodnym, jak to jest tylko możliwe. Jako nierozwiązany dotąd problem przedstawiana jest niemożliwość importowania w ten sposób haseł z Firefoksa.

Oczywiście trudno mieć pretensje do Opery tylko dlatego, że zrobiła coś, na co pozwalają systemy operacyjne i przeglądarki konkurencji, przechowujące hasła w jawnej postaci, tak że każda aplikacja mogąca działać na systemie plików ma do nich dostęp. W teorii Chrome i Internet Explorer korzystają z interfejsu Windows Data Protection, który szyfruje przechowywane hasła za pomocą hasła logowania – ale nie ochroni to ich przed dostępem innych aplikacji, działających z uprawnieniami zalogowanego użytkownika.

Jedynym solidnym sposobem na powstrzymanie oprogramowania przed takim nieupoważnionym dostępem do wrażliwych danych w przeglądarce jest zastosowanie hasła głównego, szyfrującego zapisane hasła w przeglądarce. W Firefoksie możemy to od dawna zrobić w opcjach bezpieczeństwa. Gorzej jest z Google Chrome, którego deweloperzy niezbyt przychylnie są nastawieni do samej koncepcji głównego hasła, przekonani, że ochronę haseł powinien zapewniać sam system operacyjny. A że mechanizm stosowany w Windows nie jest zbyt dobry, pozyskanie wrażliwych informacji z Chrome jest bardzo łatwe.

Więcej na ten temat możecie znaleźć we wpisie na blogu RaiderSec, prowadzonego przez Texas Tech Security Group. Wynika z niego, że Firefox najskuteczniej chroni hasła, zaś wydobycie ich z Chrome jest trywialnie proste. Internet Explorer w wersjach 7-9, mimo że korzystał tak jak Chrome z Windows Data Protection, robił to lepiej, stosując przy szyfrowaniu dodatkową entropię z adresu URL witryny, dla której hasła były przechowywane. W IE10 zastosowano jednak nowy mechanizm, znacznie pod tym względem słabszy.

Może więc lepiej w ogóle nie przechowywać w przeglądarkach haseł, powierzając je specjalizowanym narzędziom, takim jak LastPass? Najnowszą wersję tego dobrze integrującego się z przeglądarkami niezależnego menedżera haseł możecie pobrać z naszego repozytorium oprogramowania, z działu Bezpieczeństwo > Inne programy zabezpieczające.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.