->
الصورة: بيلجانا يوفانوفيتش / بيكساباي
تحديث على شنومكس / شنومكس / شنومكس: تقول Bitwarden إنها ستصدر تغييرات الأسبوع المقبل في سلوك الملء التلقائي ، والتي حددناها في نهاية هذه المقالة جنبًا إلى جنب مع التوصيات المنقحة للخطوات التي يمكنك اتخاذها للحفاظ على أمان كلمات المرور الخاصة بك على الإنترنت. ومع ذلك ، حتى يتم نشر هذا التحديث ، يظل تقريرنا الأصلي ونصائحنا.
لطالما عرض مديرو كلمات المرور ميزة الملء التلقائي - وهي قدرة الخدمة أو التطبيق على ملء نماذج تسجيل الدخول تلقائيًا بمعرف المستخدم وكلمة المرور على مواقع الويب المحفوظة. لكن الميزة تحمل مخاطر و خدمة شعبية Bitwarden، الخطر مرتفع بما يكفي بحيث يجب تجنب الملء التلقائي معًا.
بشكل عام ، ينصح خبراء الأمان بإيقاف تشغيل الإصدار الأكثر نشاطًا من الملء التلقائي ، حيث يتم ملء بيانات الاعتماد الخاصة بك تلقائيًا في المواقع المحفوظة. إذا تم اختراق موقع ويب ، فيمكن لممثل ضار التقاط معلومات تسجيل الدخول الخاصة بك قبل أن تؤكد بصريًا أن الصفحة تبدو طبيعية.
ولكن كما شركة الأمن Flashpoint.io مفصلة في منشور مدونة الأسبوع الماضي ، الملء التلقائي لـ Bitwarden به ضعف أعمق من الخدمات الأخرى. على مواقع الويب التي تستخدم إطارات iframe - حيث تقوم الصفحة بتحميل عناصر HTML من صفحة ويب مختلفة - لا تزال نماذج تسجيل الدخول المستضافة على موقع ويب خارجي مملوءة بمعرف مستخدم الموقع المحفوظ ومعلومات كلمة المرور. إذا تم اختراق أي من عناصر HTML الخارجية (مثل الإعلان ، وهو ناقل معروف لعمليات الاستغلال) ، فقد تكون النتيجة سرقة بيانات تسجيل الدخول.
هذا السماح ليس بالصدفة ، ولكن التصميم: في الشركة وثائق حول هذه القضية، الذي تم نشره في أواخر عام 2018 ، ينص Bitwarden على أن هدفه هو تشجيع التكيف بشكل أفضل مع مدير كلمات المرور. تقدم الشركة مثال iCloud كموقع ويب رئيسي لا يزال يستخدم إطارات iframes للاتصال بـ apple.com لتسجيل الدخول.
توجد مشكلة عدم الحصانة هذه سواء قمت بتعبئة نماذج تسجيل الدخول بشكل استباقي بواسطة Bitwarden أو قمت بتشغيل الملء التلقائي يدويًا ؛ أظهر اختبار Flashpoint أن استخدام الملء التلقائي يحمل نفس المخاطر. لا يحذر Bitwarden المستخدمين أيضًا عند قيامهم بملء نموذج مستضاف على صفحة أو موقع مختلف ، ويمنح تصريحًا مجانيًا للنطاقات الفرعية لموقع الويب أيضًا. وفي الوقت نفسه ، يبدو أن مديري كلمات المرور الآخرين يمثلون خيارات أكثر أمانًا ، حيث يظلون أكثر صرامة مع سياسات الملء التلقائي الخاصة بهم. أثناء فحص Flashpoint الفوري للمنافسين ، تم تعبئتهم تلقائيًا للموقع المحفوظ في إدخال الخزنة ، أو على الأقل وميض تحذير إذا تم سحب إطار iframe في شكل خارجي.
بصفتك مستخدمًا لإدارة كلمات المرور ، يمكنك اتخاذ خطوتين رئيسيتين لحماية نفسك من هذا النوع من الثغرات الأمنية. (ولا ، الإجابة لا تتمثل في عدم استخدام مدير كلمات المرور مطلقًا.)
- اترك الملء التلقائي الوقائي مغلقًا. يتم تعطيل هذا بشكل افتراضي للخدمات والتطبيقات الجيدة - اترك الأمر على هذا النحو لتحسين الأمان.
- استخدم خدمة أو تطبيقًا لا يقوم بالملء التلقائي للنماذج المستضافة على مواقع خارجية ، أو على الأقل ، سيحذرك من أنك على وشك القيام بذلك.
إذا قررت الالتزام بـ Bitwarden ، فهي خدمة موثوقة بخلاف ذلك مدير كلمات المرور المجاني المفضل لدينا، يجب عليك أيضًا استبعاد الملء التلقائي الاستباقي. وحتى الأسبوع المقبل (راجع "التحديث: 17 آذار (مارس) 2023" أدناه) ، يجب عليك اتخاذ هذا الإجراء الوقائي أيضًا:
- استخدم فقط الملء التلقائي الذي يتم تشغيله يدويًا على المواقع التي يمكنك الوثوق بها بشكل معقول. على سبيل المثال ، يجب أن تمتلك Apple الموارد للحماية من عناصر HTML المخترقة. (إذا فشلوا في حماية المستخدمين من هذا النوع من الاستغلال ، فسيواجه الجميع مشكلة أكبر بكثير).
دومينيك توماسزيفسكي / مسبك
لسوء الحظ ، لا يبدو أن مستخدمي Bitwarden قادرين على تجاوز مشكلة الملء التلقائي هذه عند نسخ ولصق معلومات تسجيل الدخول من مدير كلمات المرور في نموذج. إذا تم اختراق نموذج مستضاف خارجيًا ، فسيتم اختراقه. لذلك حتى يتم نشر تحديث Bitwarden الأسبوع المقبل [محرر: راجع ملاحظة التحديث 3/17/23 أدناه]، لا يهم كيف تقوم بإدخال تفاصيل تسجيل الدخول الخاصة بك. لن تعرف ما إذا كان نموذجًا مستضافًا داخليًا أو خارجيًا - وهذه هي المشكلة.
أما بالنسبة للمواقع الرسمية التي تم اختراقها ، فلا شيء يمكن أن يحمي من هذا الموقف. لهذا السبب تعتبر كلمات المرور العشوائية لكل موقع وخدمة وتطبيق في غاية الأهمية - فهي تحافظ على قصر الضرر على ذلك المكان الواحد. وسواء أعجبك ذلك أم لا ، فإن أفضل طريقة لتتبع عشرات (إن لم يكن المئات) من بيانات الاعتماد هي مدير كلمات المرور. اختر (واستخدم) واحدًا بحكمة ، ويجب أن تتجنب معظم المشاكل.
التحديث: 17 مارس 2023
تقول Bitwarden إنها ستصدر تحديثًا الأسبوع المقبل يغير سلوك الملء التلقائي على الصفحات التي تحتوي على عناصر iframe. وفقًا لـ Gary Orenstein ، كبير مسؤولي العملاء في Bitwarden ، ستقوم الخدمة بالتمييز بين المجالات "الموثوقة" (أي عنوان URL يحفظه المستخدم في إدخال قبو كلمة المرور أو جزء من قائمة Bitwarden الافتراضية للمواقع المعروفة والشرعية) و "غير موثوق بها" المجالات (عناوين الويب التي لا تتطابق مع المعلومات المحفوظة في مخزن كلمات المرور أو قائمة Bitwarden الافتراضية للمواقع الشرعية).
بالنسبة إلى المجالات الموثوقة ، عند فتح صفحة باستخدام نموذج تسجيل دخول iframe ، سيعمل الملء التلقائي كما كان من قبل - يتم ملء بيانات اعتماد المستخدم تلقائيًا. وسيحدث هذا فورًا عند تحميل الصفحة إذا تم تشغيل ميزة "الملء التلقائي عند تحميل الصفحة" (والتي لقد قمت باستدعاء "الملء التلقائي الوقائي" أعلاه ، ولا يزال متوقفًا بشكل افتراضي) ، أو إذا قمت بتشغيل الملء التلقائي يدويًا.
بالنسبة للمجالات غير الموثوق بها ، سيتفاعل Bitwarden بإحدى طريقتين. إذا قمت بتمكين ميزة "الملء التلقائي عند تحميل الصفحة" (التي أسميتها "الملء التلقائي الوقائي" أعلاه) ، فلن يتم ملء النموذج تلقائيًا. إذا قمت بتشغيل الملء التلقائي يدويًا ، فإن Bitwarden سينبثق تحذيرًا بعنوان URL واسأل عما إذا كنت تريد المتابعة أو الإلغاء. سيتم تشغيل هذه التنبيهات دائمًا ما لم يضيف المستخدم عنوان URL إلى إدخال مخزن كلمات المرور. ستؤدي المواقع غير الآمنة (http) المرتبطة بمجال موثوق أيضًا إلى ظهور تحذير.
ومع ذلك ، فإن Bitwarden يحتفظ بنفس قواعد المطابقة الافتراضية كما كانت قبل هذا التحديث - أي عنوان URL يطابق مجال أساسي (مثل www.google.com و keep.google.com) محفوظًا في مخزن كلمات المرور أو في قائمة المطابقة الافتراضية لـ Bitwarden تعتبر موثوقة. هذا يعني أن المجالات الفرعية الخاصة بالمجالات الموثوقة لا تزال تحصل على تصريح.
مع هذا التجديد ، تكون Bitwarden على قدم المساواة مع خدمات إدارة كلمات المرور الأخرى التي تحذر المستخدمين قبل أن يملأوا نماذج تسجيل الدخول iframe. ومع ذلك ، إذا كنت ترغب في ممارسة المزيد من التحكم في كيفية عمل المطابقة ، فيمكنك ضبط قواعد مطابقة المجال من داخل إعدادات Bitwarden: إما عبر المخزن بأكمله (الإعدادات> الملء التلقائي> اكتشاف تطابق URI الافتراضي ضمن امتداد المتصفح) أو لكل إدخال. يمكنك بالفعل إضافة أكثر من عنوان URL واحد إلى إدخال مخزن كلمات المرور ، وكذلك تعيين قواعد مطابقة مختلفة لكل منها. إذا كنت تفضل ضوابط أمان أكثر صرامة ، فقد ترغب في تبديل قواعد المطابقة الخاصة بك من "النطاق الأساسي" إلى "الدقيق". يمكنك أيضًا قلبها إلى "مطلقًا" لتعطيل الملء التلقائي معًا. اضرب صفحات تعليمات Bitwarden لمزيد من التفاصيل حول كيفية عمل كل خيار (على سبيل المثال ، النطاق الأساسي ، والمضيف ، والتعبير العادي ، وما إلى ذلك).
رموز القسيمة
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.pcworld.com/article/1656351/dont-use-autofill-on-your-password-manager-especially-if-its-bitwarden.html