Google Chrome lagrer sensitive opplysninger som er registrert på https nettsteder i klartekst

Tilbake i sommer 2 013 Google ble kritisert for lagring av brukerpåloggingsinformasjon - brukernavn og passord - i klartekst i nettleser uten noen form for beskyttelse. For noen var dette en kritisk sikkerhetsrisiko som kunne lett ha vært unngått, for eksempel ved å implementere et hovedpassord beskytter dataene

Annet -. Og Google - påpekt at lokal tilgang var nødvendig for å få tilgang til data, og hvis lokal tilgang ble gitt, datamaskinen ble kompromittert likevel åpne andre angrepsvektorer samt

For noen dager siden, sikkerhet forskningsselskap Identity Finder, oppdaget en annen -. relatert - tema i Google Chrome. Ifølge selskapets funn, Chrome lagrer sensitiv informasjon, gikk på https nettsteder og tjenester, i klartekst i nettleserens cache

Merk:. Mens mange mener at nettleseren ikke cache https sider og data på grunn av den sikre natur av sammenhengen, må det bemerkes at https innholdet kan bli lagret. Dette avhenger utelukkende på et nettsted eller serverens respons overskrifter (som overføres til nettleseren). Dersom caching overskrifter tillate caching av HTTPS innholdet, vil nettlesere gjør det.

Chrome og sensitive data

Identity Finder oppdaget at Chrome ble lagring av en rekke sensitive opplysninger i sin cache inkludert bank kontonummer, kredittkortnummer, personnummer, telefonnumre, adresser, e-post og mye mer.

Selskapet bekreftet at disse opplysningene ble lagt inn på sikre nettsteder, og kan lett bli hentet fra hurtigbufferen med søke programmer som skanner alle typer filer for klartekst data.

Dataene er ikke beskyttet i cache, noe som betyr at alle som har tilgang til det kan trekke ut informasjon. Dette betyr ikke nødvendigvis at lokal tilgang, som ondsinnet programvare som kjører på brukerens datamaskin, og selv social engineering, kan gi samme resultat.

Overlevering datamaskinen til en datamaskin verksted, å sende den inn til produsenten eller selge den på eBay eller Craigslist kan gi tredjeparter med tilgang til sensitiv informasjon lagret av nettleseren

Beskyttelse
Google Chrome. klar nettleserdata

Hvordan kan du beskytte dine data mot dette? Google ønsker du å bruke full disk kryptering på din datamaskin. Selv om det tar seg av lokal tilgang problemet, vil det ikke gjøre noe mot malware angrep eller social engineering.

Det er som å si at nettstedet operatører kan lagre passord i klartekst i databasen, som kampen er tapt uansett hvis noen får tilgang til serveren lokalt eller eksternt.

I forhold til Chrome, er det eneste alternativet som du må tømme cache, autofyll skjemadata og surfing historie regelmessig og helst rett etter at du har tastet sensitiv informasjon i nettleseren.

Du kan ikke automatisere prosessen ved hjelp av Chrome alene, men trenger en tredjepart verktøyet eller skjøte å fjerne data når du lukker nettleseren automatisk.

Andre nettlesere

Identity Finder bare analysert cache av Google Chrome, og hvis du ikke bruker nettleseren, er du sannsynligvis lurer på om nettleseren din lagrer sensitiv informasjon i klartekst også.

Firefox, allmektige når det gjelder tilpasse nettleseren, kan du deaktivere SSL caching i avansert konfigurasjon

Skriv inn about:.. config i adressefeltet og trykk enter

Bekreft at du vil være forsiktig hvis dette er ditt første gang siden vises.

Søk etter browser.cache.disk_cache_ssl

Sett preferanse til falsk med et dobbeltklikk på navnet for å deaktivere SSL caching.

Gjenta prosessen hvis du ønsker å aktivere den igjen.

Firefox vil bruke datamaskinens minne til cache-filer, noe som betyr at informasjonen slettes automatisk når Firefox lukkes, og aldri spilt inn på disk. Anmeldelser

Hvis du ikke ønsker det heller, satt browser.cache.memory.enable til false også. Anmeldelser