浏览器拼写检查或会泄露用户密码,特别是在云端服务器上使用时
最近有网络安全研究发现,像是Chrome以及Edge等浏览器可以通过改善拼写防能,无意间向第三方云端服务器发送用户的密码以及身份认证讯息(Personally identifiable information)。这个漏洞不但会让用户的隐私暴露在潜在危险中,同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。
这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现,Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下,会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据,同时把这些数据发回给微软或Google的服务器。
除了字段数据发,otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错,然而改善拼写功能就可以把这些密码都暴露给第三方服务器。
otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例,当用户以Chrome登入时,改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息,就可以窃取公司或用户数据,甚至直接危及公司组织的网络基建架构。
otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商,提醒他们相关的风险,而AWS以及LastPass随后表示已经成功解决了这个漏洞。
版权声明:
作者: freeclashnode
链接: https://www.freeclashnode.com/news/article-3716.htm
来源: FreeClashNode
文章版权归作者所有,未经允许请勿转载。
免费节点实时更新
热门文章
- 【金玉满堂】2月7日|22.2M/S,V2ray/SSR/Clash(小猫咪)免费节点订阅链接每天更新
- 【心想事成】2月6日|20.1M/S,V2ray/SSR/Clash(小猫咪)免费节点订阅链接每天更新
- 【福纳八方】2月5日|22.7M/S,Clash(小猫咪)/V2ray/Shadowrocket(小火箭)免费节点订阅链接每天更新
- 【万象更新】2月11日|22.8M/S,Clash(小猫咪)/V2ray/SSR免费节点订阅链接每天更新
- 【大吉大利】2月1日|21.4M/S,Shadowrocket(小火箭)/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 【蒸蒸日上】2月8日|22.2M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 【欢聚一堂】2月10日|21.9M/S,Shadowrocket(小火箭)/V2ray/Clash(小猫咪)免费节点订阅链接每天更新
- 【六畜兴旺】2月9日|18.9M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 【大富大贵】2月12日|23M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 1月26日|22.8M/S,SSR/V2ray/Clash(小猫咪)免费节点订阅链接每天更新
最新文章
- 2月20日|20.9M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月19日|22.2M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月18日|18.5M/S,V2ray/Clash(小猫咪)/Shadowrocket(小火箭)免费节点订阅链接每天更新
- 2月17日|21.8M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月16日|22.5M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 2月15日|18.5M/S,Clash(小猫咪)/Shadowrocket(小火箭)/V2ray免费节点订阅链接每天更新
- 2月14日|20.9M/S,V2ray/Shadowrocket(小火箭)/Clash(小猫咪)免费节点订阅链接每天更新
- 2月13日|18.6M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 【大富大贵】2月12日|23M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 【万象更新】2月11日|22.8M/S,Clash(小猫咪)/V2ray/SSR免费节点订阅链接每天更新