- Регистрация
- 19 Авг 2007
- Сообщения
- 15,802
- Реакции
- 491
- Баллы
- 0
Chrome и Edge при проверке передают пароли на сторонние серверы
В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor.
Оказалось, что текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные, в том числе из полей, содержащих имена пользователей, адреса, email, паспортные данные и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом "<input type=password>".
Например, проблема приводит к отправке на сервер www.googleapis.com паролей в случае включения опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.
В AWS и LastPass проблема уже оперативно решена через добавление параметра "spellcheck=false" в тег "input". Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция "Languages/Spell check/Enhanced spell check" или "Языки/Проверка правописания/Расширенная проверка", по умолчанию расширенная проверка отключена).
Источник: https://www.opennet.ru/opennews/art.shtml?num=57798
В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor.
Оказалось, что текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные, в том числе из полей, содержащих имена пользователей, адреса, email, паспортные данные и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом "<input type=password>".
Например, проблема приводит к отправке на сервер www.googleapis.com паролей в случае включения опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.
В AWS и LastPass проблема уже оперативно решена через добавление параметра "spellcheck=false" в тег "input". Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция "Languages/Spell check/Enhanced spell check" или "Языки/Проверка правописания/Расширенная проверка", по умолчанию расширенная проверка отключена).
Источник: https://www.opennet.ru/opennews/art.shtml?num=57798
