Пользователи 43 раза сообщили Google об «уязвимости» в браузере Chrome

[душман]

За последние пять лет пользователи 43 раза сообщили Google о наличии в браузере Google Chrome «уязвимости», которая на самом деле является легитимной функцией.

Функция присутствует в инструментах разработчика в браузере Chrome и позволяет пользователю заменить звездочки в поле пароля на обычный текст. Для этого пользователю необходимо найти код поля пароля с помощью инструментов разработчика и заменить атрибут type со значения password на значение text.

Инженеры Google в шутку назвали подобные сообщения об уязвимости «кражей собственного пароля». По словам сотрудников Google, большое количество сообщений о проблеме связано с недостаточным знанием механизмов работы Chrome, в частности того, как браузер обрабатывает введенные пароли.

«Одними из наиболее частых отчетов об уязвимостях, которые мы получаем, является раскрытие пароля с использованием функции “Элемент проверки”. Люди думают: «если я могу увидеть пароль, то это уязвимость», однако это не так. Причина, по которой пароль маскируется звездочками, заключается в предотвращении раскрытия информации злоумышленником, подсматривающим за пользователем через плечо, а не потому, что это секрет, неизвестный браузеру.

Браузер знает пароль на многих уровнях, включая JavaScript, инструменты разработчика, память процесса и пр. Если вы физически работаете на компьютере, у вас есть и всегда будут инструменты для извлечения пароля в браузере», - пояснили разработчики Chrome.

Для эксплуатации данной «уязвимости» требуется, чтобы злоумышленник физически работал за компьютером пользователя и при этом получил доступ к браузеру. «При подобных обстоятельствах возможность убрать звездочки в поле браузера будет наименьшей проблемой жертвы», - добавили инженеры Google.