Google Chrome salva i dati sensibili immessi sui siti Web https in testo normale

by Posted on

Google Chrome salva i dati sensibili immessi sui siti Web https in testo normale

Nell’estate 2013 Google è stata criticata per aver memorizzato le informazioni di accesso dell’utente – nome utente e password – in chiaro nel browser web senza alcun tipo di protezione. Per alcuni, questo era un rischio critico per la sicurezza che avrebbe potuto essere facilmente evitato, ad esempio implementando una password principale per proteggere i dati.

Altri – e Google – hanno sottolineato che era necessario l’accesso locale per accedere ai dati, e se l’accesso locale veniva concesso, il computer veniva comunque compromesso aprendo anche altri vettori di attacco.

Pochi giorni fa, società di ricerca sulla sicurezza Identity Finder, ha scoperto un altro problema correlato in Google Chrome. Secondo i risultati dell’azienda, Chrome memorizza le informazioni sensibili, inserite su siti Web e servizi https, in testo normale nella cache del browser.

Nota: Sebbene molti credano che i browser non memorizzino nella cache le pagine e i dati https a causa della natura sicura della connessione, è necessario notare che i contenuti https possono essere memorizzati nella cache. Ciò dipende esclusivamente dalle intestazioni di risposta di un sito o di un server (che vengono trasferite al browser web). Se le intestazioni di memorizzazione nella cache consentono la memorizzazione nella cache dei contenuti HTTPS, i browser web lo faranno.

Chrome e dati sensibili

Identity Finder ha scoperto che Chrome memorizzava una serie di informazioni sensibili nella sua cache, inclusi numeri di conti bancari, numeri di carte di credito, numeri di previdenza sociale, numeri di telefono, indirizzi postali, e-mail e altro ancora.

La società ha confermato che queste informazioni sono state inserite su siti Web protetti e potrebbero essere facilmente estratte dalla cache con programmi di ricerca che scansionano qualsiasi tipo di file per i dati di testo in chiaro.

I dati non sono protetti nella cache, il che significa che chiunque abbia accesso ad essi può estrarre le informazioni. Ciò non significa necessariamente l’accesso locale, poiché il software dannoso in esecuzione sul computer di un utente e persino l’ingegneria sociale possono produrre gli stessi risultati.

Consegnare il computer a un’officina di riparazione, inviarlo al produttore o venderlo su eBay o Craigslist può fornire a terzi l’accesso a informazioni sensibili memorizzate dal browser.

Protezione

Cancella dati di navigazioneGoogle Chrome: cancella i dati di navigazione

Come puoi proteggere i tuoi dati da questo? Google vuole che tu lo faccia utilizzare la crittografia completa del disco sul computer. Sebbene ciò si occupi del problema dell’accesso locale, non farà nulla contro gli attacchi di malware o l’ingegneria sociale.

È come dire che gli operatori di siti web possono salvare le password in chiaro nel database, poiché la battaglia è comunque persa se qualcuno accede al server localmente o da remoto.

Per quanto riguarda Chrome, l’unica opzione che hai è svuotare la cache, compilare automaticamente i dati dei moduli e la cronologia di navigazione regolarmente e preferibilmente subito dopo aver inserito informazioni sensibili nel browser.

Non è possibile automatizzare il processo utilizzando solo Chrome, ma è necessario uno strumento o un’estensione di terze parti per cancella i dati quando chiudi il browser automaticamente.

Altri browser

Identity Finder ha analizzato solo la cache di Google Chrome e se non stai utilizzando il browser, probabilmente ti starai chiedendo se il tuo browser memorizza anche informazioni sensibili in testo normale.

Firefox, onnipotente quando si tratta di personalizzare il browser, consente di disabilitare la cache SSL nella configurazione avanzata.

  • Digita about: config nella barra degli indirizzi e premi invio.
  • Conferma che starai attento se questa è la tua prima visita alla pagina.
  • Cercare browser.cache.disk_cache_ssl
  • Imposta la preferenza su false con un doppio clic sul suo nome per disabilitare la cache SSL.
  • Ripeti il ​​processo se desideri abilitarlo di nuovo.

Firefox utilizzerà la memoria del computer per memorizzare nella cache i file, il che significa che le informazioni vengono eliminate automaticamente alla chiusura di Firefox e non vengono mai registrate sul disco.

Se non vuoi neanche quello, imposta browser.cache.memory.enable anche a falso.

Related posts:

  1. Ghacks Linux Article Compilation dicembre 2008
  2. Giochi per Amiga e Gameloft in arrivo su Windows Phone e Windows 8
  3. Non eseguire il downgrade di Firefox 63
  4. Visualizza l’utilizzo degli iframe in Firefox

Published by