Trudniejsze życie włamywaczy: Chrome zaszyfruje ciasteczka |
|
Portator Redaktor
Liczba postów: 10.980
|
Post: #1
Trudniejsze życie włamywaczy: Chrome zaszyfruje ciasteczkaW rozmowach o internetowych ciasteczkach, które za sprawą nowych regulacji UE stały się w minionym roku kwestią obecną w świadomości nawet tzw. Zwykłych Użytkowników, nie sposób pominąć kwestii bezpieczeństwa. Technologię tę wykorzystuje się przecież do sprawdzania stanu logowania do witryn (ciasteczka przechowują wówczas dane uwierzytelniające), czy do śledzenia przechodzenia internautów ze strony na stronę, a ataki typu XSS (cross-site scripting) czy CSRF (cross-site request forgery) od lat już pozwalają na ciasteczek przechwytywanie, z czasem katastrofalnymi konsekwencjami dla ofiar. I choć w teorii ciasteczka dysponują wszelkimi zabezpieczeniami, jakich mogłyby potrzebować (opcje domain, path i secure), to realia WWW znacznie utrudniają ich zastosowanie. Kilka tygodni temu deweloperzy Chromium doszli więc do wniosku, że trzeba skuteczniej chronić prywatne dane użytkownika zapisane w ciasteczkach.
Zarówno złośliwe oprogramowanie uruchomione zdalnie, jak i napastnicy majstrujący przy komputerze ofiary, mają dziś łatwy dostęp do ciasteczek. W wypadku Google Chrome wystarczy zajrzeć do katalogu danych użytkownika i poszukać tam bazy danych sqlite, której otworzenie nie jest niczym trudnym – biblioteki są pod ręką, interfejsy są dobrze opisane. Zagrożenie jest więc całkiem realne, a ochrona przed nim nie powinna być trudna, wystarczy ciasteczka zaszyfrować.y] Odpowiednie łatki już się pojawiły w kodzie google'owej przeglądarki, i z tego co piszą deweloperzy, nie są zbyt kosztowne dla systemu pod kątem wydajności. Opóźnienia w wersji dla OS-a X wynieść miały ok. 1 ms (bez względu na rozmiar ciasteczka), w wersji dla Windows od 0,1 do 0,7 ms (w zależności od rozmiaru ciasteczka). Zaszyfrowane dane zapisywane są binarnie i przechowywane w bazie jako bloby. Zmiana dotknie tylko nowych ciasteczek, zapisanych po aktualizacji Chrome, dotychczasowe pozostaną niezaszyfrowane. To, w jakim stopniu szyfrowanie ciasteczek zwiększy bezpieczeństwo użytkowników, zależy od scenariusza, w jakim są one wykorzystywane. Na pewno nie ochroni to przed przejęciem ciasteczek przez osoby, które uzyskały lokalny dostęp do maszyny, gdy użytkownik jest zalogowany. Jeśli więc np. policyjni technicy odpowiednio zabezpieczą komputer, będą wciąż mogli z niego przejąć wszystkie ciastka z loginami do internetowych serwisów. W najbardziej popularnym scenariuszu ataku, w którym ciasteczka próbuje przejąć zainstalowane z zewnątrz malware, a dysk użytkownika nie jest zaszyfrowany, wprowadzone do Chrome łatki powinny jednak ochronić przed zagrożeniem – w najlepszym razie napastnik uzyska jedynie zaszyfrowane dane. Oczywiście najlepszym rozwiązaniem pozostaje szyfrowanie całego dysku i izolowanie od siebie aplikacji, jednak takie rozwiązania stosuje jedynie niewielki odsetek użytkowników, więc pomysł deweloperów Chrome'a jest całkiem rozsądny. YaŁ dobreprogramz.pl Windows ❼ Forum 07.01.2014 15:38 |
Podobne wątki | ||||
Wątek: | Autor | Odpowiedzi: | Wyświetleń: | Ostatni post |
News Google testuje w Chrome zabezpieczenia przed atakami komputerów kwantowych | Portator | 0 | 1.430 |
10.07.2016 05:00 Ostatni post: Portator |
News Upadek Internet Explorera. Tę przeglądarkę trudno będzie uratować, gdy Chrome zgarnia | Portator | 0 | 937 |
03.06.2016 04:45 Ostatni post: Portator |
News Google Chrome - „nie” dla Flasha, „tak" dla HTML5 | Portator | 0 | 938 |
15.05.2016 04:58 Ostatni post: Portator |
News Edge przejmie rozszerzenia Chrome dzięki aplikacji Microsoftu | Portator | 0 | 979 |
20.03.2016 06:05 Ostatni post: Portator |
News Szef Apple’a krytycznie wobec systemu edukacyjnego Google i Chrome OS-a | Portator | 0 | 1.037 |
11.12.2015 06:42 Ostatni post: Portator |
News Google: Chrome OS zostanie | Portator | 0 | 811 |
03.11.2015 05:47 Ostatni post: Portator |
« Starszy wątek | Nowszy wątek »
Autor: Portator Temat został oceniony na 0 w skali 1-5 gwiazdek. Zebrano 1 głosów. |