Az Internet böngészésére alkalmas szoftverek már régebb óta célkeresztjébe kerültek a támadóknak, akik az alkalmazások sebezhetőségeinek kihasználásával valamint a folyamatosan megújuló trükkjeik révén igyekeznek végrehajtani a kártékony tevékenységeiket. Mivel a webböngészőkben egyre gyakrabban válik szükségessé bizalmas adatok megadása, ezért nem elhanyagolható szempont, hogy e szoftverek miként képesek oltalmazni például a jelszavakat.

Robert Chapin, a Chapin Information Services elnöke az elmúlt időszakban azt próbálta kideríteni, hogy a böngészők közül melyek azok, amelyek a leginkább képesek megvédeni a jelszavakat. A szakembernek már van tapasztalata ezen a téren, hiszen két évvel ezelőtt ő volt az, aki felhívta a figyelmet a Firefox egyik - a Mozilla által is kritikus veszélyességűnek ítélt - jelszókezelési hiányosságára. Annak idején a Firefox sebezhetőségét a támadók elsősorban a MySpace ellen próbálták kihasználni, és különféle hamis bejelentkező-oldalak készítésével tévesztették meg a felhasználókat, majd jutottak hozzá belépési adatokhoz. Chapin szerint azóta a Firefox jelszókezelése sokat javult, de még napjainkban sem tökéletes.

Robert Chapin úgy véli, hogy manapság a böngészők jelszókezelésének egyik problémája, hogy különféle weboldalakkal megtéveszthetők. A MySpace elleni támadásokkor például a támadók hamis MySpace weblapokat hoztak létre. Mivel ezek is a myspace.com domain alatt kaptak helyet, ezért a Firefox - beállításoktól függően - automatikusan kitöltötte a felhasználó helyett a bejelentkezési adatokat, így a gyanútlan internetező a belépéskor a támadóknak küldte el a felhasználónevét és a jelszavát. Chapin szerint a Firefox azóta már nem tartalmazza ezt a sebezhetőséget, de a Safari valamint a Chrome még napjainkban is felhasználható ilyen jellegű támadásokhoz. Meg kell jegyezni, hogy a szakember által elvégzett teszteken az Internet Explorer 7 sem szerepelt jól.

Chapin elárulta, hogy ő személy szerint az Opera jelszókezelőjét használja, ugyanis elmondása szerint "ez jobb munkát végez a jelszavak megóvása érdekében". A tesztek alapján azonban összességében megállapítható, hogy egyik webböngésző jelszókezelésében sem érdemes 100 százalékosan megbízni, mert számos módszer révén kiszolgáltatottá tehetik a bizalmas adatokat. Mindezt jól mutatja, hogy a legjobban szereplő Opera is 21-ből mindössze hét tesztet tudott sikeresen teljesíteni.

forrás: PCworld 2008 december