Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - Klíčové jsou prohlížeče. Velká část uživatelů bude používat to,...
-
Filip JirsákStříbrný podporovatelKlíčové jsou prohlížeče.
Velká část uživatelů bude používat to, co jim poskytne prohlížeč. Obavu, že se nepřihlásí na jiném stroji, podle mne velká část uživatelů neřeší. Z těch, kteří to řeší, jich zase velká část zná synchronizaci hesel přes uživatelský profil v cloudu. Navíc kdyby prohlížeče zacházely s hesly příčetně, ta obava by byla neopodstatněná – uživateli by stačilo jediné heslo.
Problém s externími správci hesel je v tom, že jsou do prohlížečů dohackované. A všechny správce hesel jsou dohackované do webových stránek – vždy jen hádají, kam se asi má heslo předvyplnit, co je asi vytvoření nového hesla, co asi změna hesla. Navíc spoustu bezpečnostních problémů přináší to, že se hesla vyplňují do webové stránky, heslem je chráněný jediný požadavek a pak už vše závisí na nějaké podobě session identifikátoru.
Rozumná implementace by byla taková, že je autentizován každý požadavek, citlivé údaje (heslo) uživatel zadává jen do prohlížeče (nebo jeho rozšíření, ale prostřednictvím nativního UI, ne přes webovou stránku) a z prohlížeče se řídí přihlášení, odhlášení, vytvoření hesla, změna hesla. Bylo by fajn, kdyby k tomu prohlížeče poskytovaly API, aby ta implementace „správce hesel“ nemusela být jen integrovaná v prohlížeči, ale aby si uživatel mohl zvolit vlastní správce hesel.
Webové stránky bude snadné donutit k používání jiného systému – stejně, jako už dlouho prohlížeče varují, že se heslo odesílá přes nezabezpečené spojení, mohou varovat před tím, že se heslo zadává do webového formuláře.
