Η υπηρεσία διαχείρισης κωδικού πρόσβασης ανοιχτού κώδικα Bitwarden εισήγαγε ένα νέο ενσωματωμένο μενού αυτόματης συμπλήρωσης που αντιμετωπίζει τον κίνδυνο κλοπής των διαπιστευτηρίων χρήστη μέσω πεδίων κακόβουλης φόρμας.
Το ζήτημα επισημάνθηκε σχεδόν πριν από ένα χρόνο, όταν οι αναλυτές του Flashpoint απέδειξαν ότι ήταν δυνατό για τους εισβολείς να εισάγουν αδίστακτα iframe σε ευάλωτες νόμιμες τοποθεσίες ή υποτομείς που είναι επιρρεπείς σε αεροπειρατεία.
Η απάντηση της Bitwarden στον κίνδυνο εκείνη την εποχή ήταν ότι η λειτουργία αυτόματης συμπλήρωσης iframe θα πρέπει να παραμείνει διαθέσιμη για την προβολή νόμιμων σεναρίων χρήσης, όπως για το icloud.com ή το apple.com, αλλά θα συνεχίσει να είναι απενεργοποιημένη από προεπιλογή.
Οι χρήστες που ήθελαν να το ενεργοποιήσουν θα λάβουν μια ορατή προειδοποίηση σχετικά με τον κίνδυνο ενεργοποίησης της επιλογής στο μενού επέκτασης.
Λίγες μέρες αργότερα, η ομάδα του Bitwarden ανακοίνωσε ότι θα προσθέσει άλλο ένα επίπεδο ασφάλειας, επιτρέποντας την αυτόματη συμπλήρωση iframe μόνο σε αξιόπιστους ιστότοπους και υποτομείς από τον τομέα προέλευσης.
Σήμερα, ο διαχειριστής κωδικών πρόσβασης
εισήχθη
ένα σύστημα που ενσωματώνει διδάγματα από προκλήσεις ασφαλείας του παρελθόντος, επιτρέποντας στους χρήστες να συμπληρώσουν τα διαπιστευτήρια σύνδεσης χωρίς να διακινδυνεύσουν να χάσουν τα ευαίσθητα δεδομένα τους από τους φορείς phishing.
Συγκεκριμένα, οι ακόλουθες διασφαλίσεις διασφαλίζουν πλέον την ασφάλεια του συστήματος αυτόματης πλήρωσης:
- Το Bitwarden θα συμπληρώσει τα διαπιστευτήρια μόνο όταν ένας χρήστης επιλέξει ένα πεδίο φόρμας, μετριάζοντας τον κίνδυνο αυτόματης συμπλήρωσης διαπιστευτηρίων σε κακόβουλους ιστότοπους ή iframe χωρίς να το γνωρίζει ο χρήστης.
- Οι χρήστες έχουν την επιλογή να προστατεύουν με κωδικό πρόσβασης τις πληροφορίες σύνδεσης, προσθέτοντας ένα άλλο επίπεδο ασφάλειας κατά τη χρήση της αυτόματης συμπλήρωσης.
- Πραγματοποιήθηκαν εκτεταμένες δοκιμές διείσδυσης τρίτων για τον εντοπισμό και την κάλυψη κενών ασφαλείας, συμπεριλαμβανομένων πιθανώς εκείνων που σχετίζονται με iframes και υποτομείς.
Όσον αφορά την εμπειρία χρήστη, η νέα δυνατότητα ενσωματωμένης αυτόματης συμπλήρωσης σχεδιάστηκε για να διατηρεί την αυτόματη συμπλήρωση μια εύκολη διαδικασία διατηρώντας το μενού πάνω από όλα τα άλλα ορατά στοιχεία, επανατοποθετώντας το με βάση το μέγεθος της σελίδας και τη θέση κύλισης, επιτρέποντας την πλοήγηση με πληκτρολόγιο, και εμφανίζει αποτελέσματα μόνο εάν ο χρήστης είναι συνδεδεμένος στην επέκταση.
Από προεπιλογή, η λειτουργία είναι απενεργοποιημένη, αλλά οι χρήστες μπορούν να την ενεργοποιήσουν από το εικονίδιο επέκτασης του Bitwarden στις “Ρυθμίσεις” → “Αυτόματη συμπλήρωση”, όπου μπορούν να ορίσουν τις αναπτυσσόμενες επιλογές “Εμφάνιση μενού αυτόματης συμπλήρωσης στα πεδία φόρμας”.
Για να αποφύγετε τη διένεξη, συνιστάται να απενεργοποιήσετε τις λειτουργίες αυτόματης συμπλήρωσης στο πρόγραμμα περιήγησής σας, εάν είναι ενεργοποιημένο στην επέκταση Bitwarden.
Η διαχείριση κωδικών πρόσβασης διαθέτει πολλές επιλογές αυτόματης συμπλήρωσης που περιλαμβάνουν συντομεύσεις πληκτρολογίου, αποκλειστικό μενού περιβάλλοντος, αυτόματη συμπλήρωση κατά τη φόρτωση σελίδας και μη αυτόματη συμπλήρωση.
Οι χρήστες μπορούν επίσης να ορίσουν συγκεκριμένες παραμέτρους για τις αξιόπιστες διευθύνσεις URL που θέλουν το Bitwarden να παρέχει την επιλογή αυτόματης συμπλήρωσης.
VIA:
bleepingcomputer.com
