Перейти к содержанию
Авторизация  
душман

Пользователи 43 раза сообщили Google об «уязвимости» в браузере Chrome


Рекомендуемые сообщения

За последние пять лет пользователи 43 раза сообщили Google о наличии в браузере Google Chrome «уязвимости», которая на самом деле является легитимной функцией.

Функция присутствует в инструментах разработчика в браузере Chrome и позволяет пользователю заменить звездочки в поле пароля на обычный текст. Для этого пользователю необходимо найти код поля пароля с помощью инструментов разработчика и заменить атрибут type со значения password на значение text.

e7f93d7d21597e86f3e680e213be95f9.png.8bd740bbdfe738699db8ccf73b7f4d39.png

Инженеры Google в шутку назвали подобные сообщения об уязвимости «кражей собственного пароля». По словам сотрудников Google, большое количество сообщений о проблеме связано с недостаточным знанием механизмов работы Chrome, в частности того, как браузер обрабатывает введенные пароли.

«Одними из наиболее частых отчетов об уязвимостях, которые мы получаем, является раскрытие пароля с использованием функции “Элемент проверки”. Люди думают: «если я могу увидеть пароль, то это уязвимость», однако это не так. Причина, по которой пароль маскируется звездочками, заключается в предотвращении раскрытия информации злоумышленником, подсматривающим за пользователем через плечо, а не потому, что это секрет, неизвестный браузеру.

Браузер знает пароль на многих уровнях, включая JavaScript, инструменты разработчика, память процесса и пр. Если вы физически работаете на компьютере, у вас есть и всегда будут инструменты для извлечения пароля в браузере», - пояснили разработчики Chrome.

Для эксплуатации данной «уязвимости» требуется, чтобы злоумышленник физически работал за компьютером пользователя и при этом получил доступ к браузеру. «При подобных обстоятельствах возможность убрать звездочки в поле браузера будет наименьшей проблемой жертвы», - добавили инженеры Google.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Похожий контент

    • От Ippolitovich
      В браузере Chrome 69 появилась функция автоматического сокрытия субдоменов «www» и «m», что вызвало неоднозначную реакцию сообщества. Нововведение позиционировалось как элемент защитного механизма, но в реальности оказалось чуть ли не обратным по действию.
       


      В результате разработчики приняли решение откатить это изменение в Chrome 70. Там поддомен «www» будет скрыт, но код доработают с учётом возможных проблем. А вот поддомен «m» пока заменять не будут, поскольку возникает путаница: можно открыть мобильный сайт на десктопной системе, но в адресной строке будет указан адрес основного, хотя оформление и другие особенности будут отличаться.
      Дабы избежать подобного в будущем, в Google намерены инициировать публичное обсуждение вопроса внесения изменений в веб-стандарты, а субдоменам «www» и «m» присвоить особый статус. Их планируется зарезервировать для особого применения, а уже браузеры будут отображать или скрывать их в зависимости от локальных настроек.
      При этом интересно, что в ходе дискуссии из 35 участников только один согласился с необходимостью скрывать субдомены. В качестве альтернатив предлагалось сделать отображение субдоменов менее контрастным (как у Firefox) или скрывать их только у ресурсов Google.
      Но самое интересное оказалось то, что поисковый гигант, фактически, самолично добавил изменения в самый популярный браузер, и лишь затем озаботился вопросом его стандартизации. А учитывая, что сам процесс изменения веб-стандартов небыстрый, это, как минимум, вызывает ряд вопросов.  Впрочем, учитывая, что Google в перспективе хочет вообще отказаться от URL-адресов и отдавать страницы через собственную инфраструктуру, по аналогии с технологией AMP, неудивительно, что компания начала так агрессивно внедрять нововведения, не заботясь об обратной совместимости.
      Судя по последней информации, разработчики Chrome откатили сокрытие субдоменов «www» и «m» в последней сборке. Но в 70-й версии браузер снова будет скрывать  «www». 
    • От Ippolitovich
      Что-то неладное происходит в недрах компании Google. То разработчики добавляют новый веб-стандарт, даже не обсудив его с сообществом, то включают тестовую функцию всем пользователям. Речь пойдёт о втором.
      Несколько дней назад владельцы смартфонов Google Pixel и других под управлением Android 9 Pie обратили внимание, что функция Battery Saver включена, причём даже если аккумуляторы были заряжены полностью. Некоторые даже подумали, что сами включили её и просто забыли. Но, как оказалось, всё дело в Google.
       


      В компании уже подтвердили, что проводили «внутренний эксперимент по тестированию функций экономии батареи», но его невольными участниками оказались все владельцы устройств на Android 9. Ведь в компании по ошибке удалённо запустили изменение настроек и активировали Battery Saver. В Маунтин-Вью уже извинились за это и заявили, что вернули всё, как было.
       


      Как оказалось потом, изменения затронули не только «Пиксели», но также Essential Phone, OnePlus 6, смартфоны Nokia и ряд других. Причём Battery Saver активировался даже в бета-версиях операционной системы.
      Для пользователя это вызвало такие последствия:
      Приложения с обновлением содержимого, например браузеры, работают только когда открыты на экране; Служба определения местоположения при выключенном дисплее не работает; Приложения в фоновом режиме не работают; Некоторые уведомления не приходят по вышеуказанным причинам. При этом отметим, что Apple, как и Google, давно уже оснастила свои операционные системы механизмами принудительного обновления программного обеспечения. В 2008 году Стив Джобс подтвердил это в интервью The Wall Street Journal. Разумеется, эти механизмы нужны для безопасности, но, как видим, они могут стать причиной и глобальных сбоев. Остаётся надеяться, что это не повторится.
    • От Ippolitovich
      Федеральная антимонопольная служба России (ФАС) приступила к разработке закона, который обяжет производителей пользовательского программного обеспечения сделать практически все предустановленные на гаджеты приложения полностью удаляемыми.
       


      О новой инициативе рассказывает РБК. В настоящее время смартфоны и планшеты поставляются с большим количеством изначально инсталлированных программ. Причём удалить их обычным способом пользователи, как правило, не могут. Для деинсталляции требуется root-доступ.
      Между тем предустановленные приложения могут собирать различную информацию о владельце гаджета. Такие данные помогают более точно настраивать таргетированную рекламу. Теоретически собранные сведения могут оказаться в руках киберпреступников. Поэтому российские надзорные органы намерены вмешаться в сложившуюся ситуацию.
       


      «В настоящее время идёт работа по формированию рабочих групп при экспертном совете ФАС России по развитию конкуренции в области информационных технологий. В том числе будет создана рабочая группа, которая будет заниматься подготовкой предложений по вопросу предустановки программного обеспечения и его полной удаляемости (за исключением сервисных приложений)», — приводит РБК слова представителей ФАС.
      Отмечается также, что в разработке нового закона примут участие эксперты Минкомсвязи и Роспотребнадзора. 
    • От Ippolitovich
      Выпустив новое поколение смартфонов компания Apple решила задрать цены ещё выше. iPhone XS Max в топовой версии достиг отметки 1450 долларов. Ранее за такие деньги предлагали только лимитированные версии тех или иных топовых смартфонов.
       


      Кроме увеличения цены на сами смартфоны, Apple увеличила стоимость ремонта. К примеру, замена заднего стекла без гарантии обойдётся в 600 долларов! Да, фактически замены не будет, вы получите вместо своего смартфона целый восстановленный, но сути это не меняет.
      Умные часы Apple Watch Series 4 также подорожали и теперь стартуют с 400 долларов. Оказалось, что для них повысилась и цена дополнительной гарантии AppleCare+. Если ранее эта услуга стоила 50 долларов, то теперь — 80 долларов. То есть сами часы подорожали на 21%, а расширенная гарантия — на 60%!
    • От Ippolitovich
      Разработчики браузера Brave, ориентированного на конфиденциальность, подали иски в суды в Великобритании и Ирландии с заявлением о том, что крупные IT-компании безнаказанно тиражируют и распространяют данные пользователей без их разрешения.
      Заявители уточнили, что намерены добиться от крупных компаний соблюдения правил Европейского стандарта защиты данных (GDPR), согласно которому люди получат больше контроля над своими данными. По словам истцов, Google, Facebook и другие компании используют личную информацию без разрешения пользователя на это.
       


      Речь идёт о том, что, когда человек посещает веб-сайт, его персональные сведения начинают циркулировать по Сети, становясь объектом продажи и целью для таргетированной рекламы. В Google заявили, что уже реализовали защиту от этого и полностью придерживаются правил GDPR. Однако при этом количество рекламы и продаж персональной информации пока не уменьшились.
      Любопытно, что разработчиков Brave поддержал создатель Javascript и соучредитель Mozilla Брендан Эйх. А ранее разработчики «рыжего» браузера инициировали проект Fusion по слиянию функциональности Mozilla и Tor. Плюс в будущих версиях программы обещана нативная встроенная защита от отслеживания за переходами по веб-страницам.
       


      Разумеется, если законодатели встанут на сторону истцов, это серьёзно ударит по рекламным компаниям и, в первую очередь, по Google. Исследовательская фирма eMarketer заявила, что в этом году рынок электронный рекламы вырос до 273 миллиардов долларов. А за нарушение GDPR предусматриваются санкции до 4 % общего оборота компании.
      Пока что эксперты не оценивают вероятность выигрыша или проигрыша дела по иску. Но сам прецедент уже создан, а значит, в будущем возможны серьёзные изменения на рынке сетевой рекламы, что неизбежно затронет всех.
×