Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
01.04.2020

Microsoft предложила новую функцию безопасности для Chromium

Когда пользователь дает свой компьютер другу, и друг хочет воспользоваться браузером, при заполнении форм (например, авторизации) браузер будет заполнять их автоматически. Таким образом, логины, электронная почта и пароли пользователя будут видны его другу. Безусловно, прежде чем дать кому-то свое устройство, пользователь может удалить информацию из механизма автозаполнения, однако, по словам Microsoft, многие обеспокоены таким положением дел.

Даже если пользователь вышел из своих учетных записей, функция автозаполнения автоматически предложит учетные данные, и друг сможет авторизоваться в чужой учетной записи. «Это позволяет Пользователю А авторизоваться в учетной записи Пользователя В лишь в один клик. Кроме того, Пользователь В может легко просмотреть пароль в текстовом виде», - сообщает Microsoft.

В связи с этим компания рекомендовала разработчикам Chromium обновить функцию автозаполнения полей с целью обезопасить пользователей, делящих свои компьютеры с членами семьи и друзьями.

Ранее в качестве решения проблемы разработчики уже предлагали использовать мастер-пароль, и Microsoft поддерживает эту идею. Компания предложила обновленный хук авторизации, позволяющий использовать мастер-пароль тем, кто вынужден делить свой компьютер с кем-то еще. Мастер-пароль будет применяться не только к паролям, но и ко всей автоматически заполняемой информации.

Microsoft также предложила «отключить по умолчанию хук авторизации ОС» в пути выполнения кода функции автозаполнения полей в Chromium. Другими словами, функция автозаполнения полей в Chromium должна использовать существующую в Windows 10 логику авторизации, которая в настоящее время используется менеджером паролей. Кроме того, компания предложила добавить настройку, позволяющую устанавливать период времени, в течение которого успешная авторизация должна считаться действительной.

«Это решение поможет гарантировать, что пользователям не будет предложено пройти аутентификацию, пока они не продемонстрируют свое намерение получить доступ к сохраненным учетным данным», - пояснили в компании.