Новости про Safari и безопасность

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Автозаполнение может использоваться для взлома

Финский веб-разработчик и белый хакер Вильями Куосманен установил, что несколько браузеров, включая Google Chrome, Apple Safari и Opera, а также несколько менеджеров паролей, плагинов и утилит, включая LastPass, могут быть одурачены, с целью выудить различную пользовательскую информацию.

Фишинговая атака довольно проста. Когда пользователь заполняет информацию в текстовых полях, автозаполнение сканирует все прочие текстовые поля, подбирая ранее введенные аналогичные значения. Это происходит даже в случае, если эти поля невидимы. В демонстрации, Куосманен показал простую онлайн форму лишь с двумя видимыми полями «Имя» и «Email», которая благодаря скрытым полям и автозаполнению собирает и другую информацию о пользователе, включая адрес, телефон, организацию и город проживания.

Исследователь отметил, что эту атаку можно сделать ещё более опасной, собрав важные пользовательские данные, включая номер банковской карты и CVV код.

Стоит отметить, что Chrome отправляет предупреждение, когда используется автозаполнение для финансовых данных на сайтах без HTTPS шифрования. Чтобы избежать подобных проблем Куосманен рекомендует просто отказаться от автозаполнения, отключив его в настройках браузера.