Google, LLC
Jake Archibald, dezvoltatorul avocat al Google Chrome, a descoperit o vulnerabilitate destul de gravă în tehnologia modernă de navigare pe web, care ar putea permite site-urilor să fure detalii de conectare, precum și alte informații sensibile. Exploatările ar putea fura teoretic informații legate de alte site-uri pe care v-ați conectat, dar în prezent nu încercați să accesați.
Atacatorii la distanță ar putea folosi ipotetic chiar această vulnerabilitate pentru a citi conținutul e-mailurilor pe care le accesați dintr-o interfață web sau postări private trimise către dvs. pe un site de rețele sociale.
Tehnologia de cerere cross-origine oferă nucleul pe care vulnerabilitatea ar putea fi construită teoretic. Browserele moderne nu permit site-urilor să facă cereri cross-origin, deoarece inginerii moderni cred că există câteva motive legitime pentru care un site să analizeze informațiile furnizate de la altul.
Browserele web nu sunt atât de speciale atunci când vine vorba de preluarea altor tipuri de fișiere media găzduite în alte origini, deoarece acest tip de cerere este neapărat încărcarea fluxului audio și video.
Codul site-ului este, în general, permis să încarce fișiere audio și video din alte domenii fără a solicita browserului să afișeze o eroare de solicitare neautorizată. Browserele pot accepta, de asemenea, unele tipuri de antet de gamă și răspunsuri de încărcare parțială a conținutului, care ar trebui să furnizeze bucăți mici dintr-o bucată mai mare de suport media.
Microsoft Edge, Mozilla Firefox și alte browsere moderne ar putea fi păcălite să încarce cereri neregulate folosind această metodă, conform cercetărilor Archibald. S-a demonstrat că aceste browsere permit testarea copiilor de date opace din mai multe surse către un utilizator final.
În prezent, nu există cazuri cunoscute de crackers care să folosească acest vector de atac. Wavethrough, așa cum îl numește Archibald, a fost deja corectat în Chrome și Safari fără a încerca cu adevărat să facă acest lucru. El a declarat că dorește ca acest tip de caracteristică de securitate să fi fost scrisă ca un standard de navigare, astfel încât toate browserele moderne să fie imune la vulnerabilitate.
Deși nu au existat știri despre Microsoft sau Mozilla care răspund la eroare, nu este greu de crezut că patch-urile vor fi lansate odată cu următoarea actualizare majoră a ambelor browsere. Inginerii ar putea, într-o zi, să facă presiuni pentru ca acest design să fie standard așa cum dorea Archibald.
Etichete Google Chrome securitate web
