JavaScript セキュリティ会社 Otto-JS による分析により、Google Chrome と Microsoft Edge に追加された一部の拡張スペルチェック機能が原因で問題が発生していることが判明しました。 データ漏洩. これらは、個人識別情報 (PII) や場合によってはパスワードを含むフォーム データを各 Web ブラウザの所有者に送信します。
続きを読む: アプリケーションによる個人情報の漏洩を防ぐにはどうすればよいですか?
続きを見る
専門家らはAIは善をもたらす力だと語る
母親は娘をバービーと名付け、息子はケンと名付けられるところだった
データ漏洩の発見
このすべてを解明し、これらのスペル チェック機能は、ユーザーが気づいていない場合でもアクティブになっている場合が多いと警告したのは、Otto-JS の共同創設者兼 CTO である Josh Summitt です。
どちらのブラウザにも基本的なスペル チェックが組み込まれており、デフォルトで有効になっており、データを Google や Microsoft に送信しません。 ただし、Chrome の「Enhanced Spellcheck」拡張機能と Edge の「Microsoft Editor」はオプションのアドオンです。
そうは言っても、ユーザーは明示的に同意する必要があり、ユーザーのデータが 製品を改善するために両社に返送されましたが、これに含まれる可能性があるかどうかはそれほど明らかではありません。 あなたのPII。
すべてのデータにオンラインでアクセス
セキュリティ会社は、ChromeとEdgeがウェブページ上のほとんどのテキストフィールドと連携して「基本的にあらゆるもの」にアクセスできると述べた。
これは、生年月日、個人情報の詳細など、オンラインで入力されたすべてのデータが保存されることを意味します。 支払い、連絡先情報、ログイン情報、パスワードを Google ブラウザに送り返すことができ、 マイクロソフト。
Summitt 氏は、「パスワードを表示」オプションが有効になっている場合でも、この機能はサードパーティのサーバーに送信されるとさえ述べています。 Bleeping Computer は、Chrome がユーザー名を送信するために使用されていたことを発見したと報告しています。 SSA.gov、バンク・オブ・アメリカ、ベライゾン、そしてそのパスワードは CNN と Facebook にも公開されました。 やり方。
解決策は何でしょうか?
露出を最小限に抑える 1 つの方法は、Web 開発者が機密情報を必要とする可能性のあるすべての入力フィールドに「spellcheck=false」と呼ばれる詳細を含めることです。
したがって、これらのフィールドはブラウザのスペル チェッカーから事実上ブロックされますが、これらのエントリのスペル チェックは無効になります。
ユーザー側で、強化されたスペル チェッカーを一時的に無効にするか、ブラウザから完全に削除します。 少なくともいずれかの企業がプライバシー ポリシーを改訂するまでは、これがデータを保護する唯一の方法のようです。 プライバシー。