Parola yöneticileri, oturum açma verilerinin güvenli ve emniyetli bir şekilde saklanmasına yardımcı olmak ve böylece kullanıcıları “bellek çalışması”ndan kurtarmak için tasarlanmıştır. Pratik küçük yardımcılar aynı zamanda cihaz sınırlamalarının ötesine geçebilir ve akıllı telefonlar, masaüstü bilgisayarlar ve dizüstü bilgisayarlardaki erişim verilerini yönetebilir. Genellikle bulutta uçtan uca şifrelenmiş olarak depolanırlar. Şifrelerin bile hafızada yalnızca kısa bir süreliğine çözülmesi gerekir. Ancak Microsoft'un Edge tarayıcısındaki şifre yöneticisi burada başarısız oluyor.
Duyurudan sonra devamını okuyun
Tom Jøran Sønstebyseter Rønning, X ile ilgili bir gönderide soruna dikkat çekiyor. Basit bir test güvenlik açığını doğrular. Microsoft Edge'de şifre yöneticisini etkinleştirerek “Klartext PW Test” şifresiyle bir hesap oluşturduk. Bu verileri görüntülemek, erişmek veya düzenlemek için Microsoft Edge, Windows Hello kimlik doğrulamasını gerektirir. Bu, verilerin iyi korunmuş göründüğü anlamına gelir.
Test etmek için tarayıcıyı kapattık ve Microsoft Edge'i yeniden başlattık. Edge yalnızca kendi ana sayfasını gösterdi. Artık görev yöneticisini kullanarak tarayıcının bellek dökümünü oluşturabilirsiniz. Diskte yaklaşık 670 MB kaldı. Burada, “düz metin” için bir hex düzenleyiciyle yapılan basit bir arama, “düz metinde PW testi” parolasının tamamını döndürdü: parola henüz kullanılmadı, ancak düz metin olarak bellekte bulunuyor.
Güvenli olmayan şifre tutumu
İşlem belleğindeki parolaları bu şekilde yönetmek, uzun zamandan beri son teknoloji ürünü olmaktan çıktı. Yaygın güvenlik anlayışına göre şifreler yalnızca kullanım anında çözülmeli ve kısa süre sonra hafızadan silinmelidir. Microsoft'un, kullanıldıkları web siteleri ziyaret edilmemiş olsa bile tüm şifreleri belleğe yüklemesi açık bir anakronizmdir. Bu ayrı bir güvenlik açığı kategorisidir: CWE-316, “Hassas Bilgilerin Bellekte Düz Metin Depolanması.” Microsoft'un bunu hızla geliştirmesi gerekiyor. Ancak Itavisen.no, Rønning'in Microsoft'un güvenlik açığı raporuna verdiği yanıtın bunun bilinçli ve kasıtlı bir tasarım kararı olduğu yönünde olduğunu bildirdi. Bu nedenle kullanıcılar güvende olmak için diğer şifre yöneticilerini aramalıdır.
Geçtiğimiz Aralık ayında şifre yöneticisini test ederken Federal Bilgi Güvenliği Bürosu (BSI), Microsoft Edge şifre yöneticisini açıkça hariç tuttu. Ancak Ağustos 2024'te VPN yazılımı ve şifre yöneticileri üzerinde yapılan bir denetimde bazı ürünlerde de bu tür güvenlik açıkları tespit edildi.
(Bilmiyorum)
Bir yanıt yazın