JavaScript drošības firmas Otto-JS veiktā analīze atklāja, ka daži pārlūkiem Google Chrome un Microsoft Edge pievienotie paplašinātie pareizrakstības pārbaudes līdzekļi izraisa datu noplūde. Tie nosūta veidlapu datus, tostarp personiski identificējamu informāciju (PII) un dažos gadījumos paroles, attiecīgās tīmekļa pārlūkprogrammas īpašniekam.
Lasīt vairāk: Kā novērst personas datu noplūdi ar lietojumprogrammām?
redzēt vairāk
Eksperti saka, ka AI ir spēks uz labu
Māte reģistrē meitu vārdā Bārbija, un dēlu gandrīz nosauca par Kenu
Datu noplūdes atrašana
To visu izdomāja Džošs Sammits, Otto-JS līdzdibinātājs un CTO, un brīdināja, ka šīs pareizrakstības pārbaudes funkcijas bieži ir aktīvas pat tad, ja lietotāji to nezina.
Abās pārlūkprogrammās pēc noklusējuma ir iespējota pamata pareizrakstības pārbaude, un tās nepārsūta datus atpakaļ uz Google vai Microsoft. Tomēr Chrome paplašinājums “Uzlabotā pareizrakstības pārbaude” un Edge “Microsoft Editor” ir papildu papildinājumi.
Tomēr lietotājiem ir skaidri jādod piekrišana, un, lai gan ir skaidrs, ka viņu dati tiks izmantoti nosūtīts atpakaļ abiem uzņēmumiem, lai uzlabotu produktu, tas nav tik acīmredzams, ka tas varētu ietvert jūsu PII.
Piekļuve visiem datiem tiešsaistē
Drošības firma teica, ka pārlūkprogramma Chrome un Edge, kas strādā kopā ar lielāko daļu tīmekļa lapas teksta lauku, var piekļūt "būtībā jebkam".
Tas nozīmē, ka visi tiešsaistē ievadītie dati, tostarp jūsu dzimšanas datums, informācija par maksājumu, kontaktinformāciju, pieteikumvārdus un paroles var nosūtīt atpakaļ uz Google pārlūkprogrammām un Microsoft.
Summits pat teica, ka, ja ir iespējota opcija "rādīt paroli", šī funkcija joprojām tiks nosūtīta uz trešo pušu serveriem. Bleeping Computer ziņo, ka atklāja, ka pārlūks Chrome tika izmantots lietotājvārdu pārsūtīšanai uz SSA.gov, Bank of America un Verizon, un paroles tika atklātas arī CNN un Facebook. veidā.
Kāds būtu risinājums?
Viens veids, kā samazināt ekspozīciju, ir tīmekļa izstrādātājiem visos ievades laukos, kuros var būt nepieciešama sensitīva informācija, iekļaut detaļu ar nosaukumu “spellcheck=false”.
Tādējādi tas efektīvi bloķēs šos laukus no pareizrakstības pārbaudītājiem pārlūkprogrammās, lai gan tas nozīmēs, ka šiem ierakstiem pareizrakstības pārbaude tiks atspējota.
Lietotāja pusē īslaicīgi atspējojiet uzlaboto pareizrakstības pārbaudītāju vai pilnībā noņemiet to no pārlūkprogrammas Šķiet, ka tas ir vienīgais veids, kā aizsargāt savus datus, vismaz līdz brīdim, kad kāds no uzņēmumiem pārskatīs savu privātuma politiku. privātumu.
