Tavis Ormandy นักวิจัยความปลอดภัยกูเกิลเขียนบทความวิเคราะห์ความปลอดภัยของปลั๊กอินที่เชื่อมต่อโปรแกรมเก็บรหัสผ่านเข้ากับเบราว์เซอร์เพื่อความสะดวกในการใช้งาน
Travis ระบุว่าปลั๊กอินที่เชื่อมตัวเก็บรหัสผ่านเข้ากับเบราว์เซอร์นั้นมักอาศัยการแก้ไขคอนเทนต์ในตัวเว็บเพื่อแสดงไอคอนและ UI ที่เกี่ยวข้องกับการจัดการรหัสผ่าน จากนั้นตัวโปรแกรมมักสร้างช่องทางพิเศษเพื่อเชื่อมต่อไปยังตัวโปรแกรมจัดการรหัสผ่านนักเบราว์เซอร์ แนวทางเช่นนี้สร้างความเสี่ยงเพราะเว็บที่มุ่งร้ายสามารถใช้ช่องทางนี้เข้าถึงโปรแกรมจัดการรหัสผ่านได้ และสคริปต์ที่ปลั๊กอินใส่เข้าไปในหน้าเว็บก็เปิดทางให้เว็บมุ่งร้ายดัดแปลงสคริปต์มาหลอกผู้ใช้ได้
เขาระบุว่าหากต้องการใช้ตัวจัดการรหัสผ่านสำหรับบริการออนไลน์ในเบราว์เซอร์แล้ว เขาแนะนำให้ใช้ตัวจัดการรหัสผ่านในเบราว์เซอร์เองเลยดีที่สุด เพราะตัวจัดการเหลา่นี้ใช้ UI ของตัวเบราว์เซอร์เองโดยตรง (เช่นแสดงไอคอนในช่อง URL) ปิดโอกาสไม่ให้เว็บมุ่งร้ายพยายามแสดงหน้าจอหลอกผู้ใช้ และลดความเสี่ยงการบุกรุกเครื่อง
ที่มา - cmpxchg8b