Nowa Opera po cichu przejmuje hasła z innych przeglądarek. Wygoda czy zagrożenie?
W deweloperskim kanale wydawniczym Opery pojawiła się nowawersja – oznaczona numerem 23.0.1522.0. Nie wzbudziłabyszczególnego zainteresowania, gdyby nie niespotykane wcześniejzachowanie programu, przez wielu użytkowników uznane za inwazyjne inaruszające ich prywatność.
Do tego, że przeglądarki nie pytając się o zgodę same sięaktualizują, ich producenci zdążyli nas już przyzwyczaić. Wzasadzie nie jest to nic złego – działający w tle procesniezauważalnie dla użytkownika zadba, by korzystał z wersjiaktualnej, wolnej od wcześniej wykrytych usterek i luk. OperaSoftware zdecydowała się jednak pójść jeszcze dalej wautomatyzacji przeglądarkowych procesów, sięgając bez pytania podane zapisane w innych przeglądarkach.
Wspomniana wersja Opery przy pierwszym uruchomieniu skanuje systempod kątem zainstalowanych w nim innych przeglądarek, wyszukujeprofile użytkownika i importuje z nich zakładki, ciasteczka,historię przeglądania, a nawet hasła. Jeśli w Operze mamywłączoną usługę Sync, dane te wędrują do chmury norweskiegoproducenta.
Specjalnie z tym nowym mechanizmem importu nikt się nie ukrywa.Na blogu DesktopTeam Przemek Kudła pisze, że celem jego wprowadzenia byłouczynienie przejścia z innych przeglądarek na Operę tak wygodnym,jak to jest tylko możliwe. Jako nierozwiązany dotąd problemprzedstawiana jest niemożliwość importowania w ten sposób hasełz Firefoksa.
Oczywiście trudno mieć pretensje do Opery tylko dlatego, żezrobiła coś, na co pozwalają systemy operacyjne i przeglądarkikonkurencji, przechowujące hasła w jawnej postaci, tak że każdaaplikacja mogąca działać na systemie plików ma do nich dostęp. Wteorii Chrome i Internet Explorer korzystają z interfejsu WindowsData Protection, który szyfruje przechowywane hasła za pomocąhasła logowania – ale nie ochroni to ich przed dostępem innychaplikacji, działających z uprawnieniami zalogowanego użytkownika.
Jedynym solidnym sposobem na powstrzymanie oprogramowania przedtakim nieupoważnionym dostępem do wrażliwych danych w przeglądarcejest zastosowanie hasła głównego, szyfrującego zapisane hasła wprzeglądarce. W Firefoksie możemy to od dawna zrobić w opcjachbezpieczeństwa. Gorzej jest z Google Chrome, którego deweloperzyniezbytprzychylnie są nastawieni do samej koncepcji głównego hasła,przekonani, że ochronę haseł powinien zapewniać sam systemoperacyjny. A że mechanizm stosowany w Windows nie jest zbyt dobry,pozyskanie wrażliwych informacji z Chrome jest bardzo łatwe.
Więcej na ten temat możecie znaleźć wewpisie na blogu RaiderSec, prowadzonego przez Texas Tech SecurityGroup. Wynika z niego, że Firefox najskuteczniej chroni hasła, zaśwydobycie ich z Chrome jest trywialnie proste. Internet Explorer wwersjach 7-9, mimo że korzystał tak jak Chrome z Windows DataProtection, robił to lepiej, stosując przy szyfrowaniu dodatkowąentropię z adresu URL witryny, dla której hasła byłyprzechowywane. W IE10 zastosowano jednak nowy mechanizm, znacznie podtym względem słabszy.
Może więc lepiej w ogóle nie przechowywać w przeglądarkachhaseł, powierzając je specjalizowanym narzędziom, takim jakLastPass? Najnowszą wersję tego dobrze integrującego się zprzeglądarkami niezależnego menedżera haseł możecie pobrać znaszego repozytorium oprogramowania, z działu Bezpieczeństwo >Inneprogramy zabezpieczające.