In het onderzoek keek Chapin naar de soorten beveiligingschecks die browsers maken om er zeker van te zijn dat ze hun informatie naar legitieme websites sturen in plaats van slimme hackers. Volgens Robert Chapin, directeur van het onderzoeksbedrijf, zijn de resultaten opvallend. “Van alle grote browers scoren de wachtwoordmanagers in Safari en Chrome het laagst”, schrijft Chapin in zijn rapport. Beide zijn gebaseerd op het WebKit-framework.

Twee jaar geleden ontdekte Chapin een veiligheidslek in Firefox, dat onmiddellijk als ‘kritiek’ werd geclassificeerd door de ontwikkelaars van Mozilla. De bug werd gebruikt door hackers die probeerden om persoonlijke gegevens te stelen via MySpace. Sindsdien heeft Mozilla veel aandacht besteed aan de veiligheid van Firefox, maar het resultaat is nog verre van perfect, beweert Chapin. “Of iedereen blind vertrouwen moet hebben in het wachtwoordbeheer van zijn of haar browser? Absoluut niet.”

Een groot probleem is dat de hedendaagse browsers makkelijk om de tuin kunnen worden geleid als het om wachtwoorden gaat. Zo maakten de hackers van bovengenoemde MySpace-aanval gebruik van een truc om een nep-inlogvenster op een MySpace-pagina te plaatsen. Omdat op deze pagina ook een legitiem inlogvenster stond, werden de gegevens door de browser automatisch naar beide formulieren gestuurd. Deze bug is inmiddels verholpen in Firefox, maar Chrome en Safari zijn nog altijd kwetsbaar.

Een ander probleem is dat browsers gemakkelijk een wachtwoord van het ene domein – bijvoorbeeld Google – naar het andere domein – bijvoorbeeld MySpace – sturen, zonder de gebruiker hierbij te waarschuwen. Dit komt volgens Chapin doordat browsers te veel vertrouwen hebben in pagina’s die vragen om een wachtwoord. Een browser die hier wel goed mee omgaat is Opera, meent Chapin. Het onderzoeksbureau heeft een online test gepubliceerd waarmee gebruikers de veiligheid van hun eigen browser kunnen testen.

Volgens Robert Hansen, directeur van veiligheidsbedrijf SecTheory, is al jaren bekend dat browsers onveilig zijn. “Op het gebied van veiligheid is het natuurlijk geen goed idee om een wachtwoordmanager te integreren in een browser”, zegt Hansen tegenover ComputerWorld. “Een browser is nou eenmaal niet gemaakt om een groot aantal exploits tegen te houden. En zonder deze exploits zouden wachtwoordhacks niet werken.” Bron: Techworld