Jump to content

Функция автозаполнения форм в браузерах угрожает безопасности данных


Recommended Posts

Большинство пользователей по-настоящему ненавидят вручную вводить логины и пароли в формы авторизации, особенно на мобильных устройствах. К счастью, в популярных браузерах существует функция автоматического заполнения, намного упрощающая процесс авторизации. Тем не менее, злоумышленники могут воспользоваться ею и обманным путем заставить жертву предоставить им свои данные.Финский разработчик Вильями Куосманен опубликовал на GitHub демо, показывающее, как атакующий может в своих целях воспользоваться функцией автозаполнения форм. Данный способ был впервые обнаружен еще в 2013 году исследователем из ElevenPaths Рикардо Мартином Родригесом, однако Google до сих пор не решила проблему.Представленный Коусманеном демо-сайт состоит из простой web-формы с двумя видимыми полями – для имени и электронного адреса. Остальные поля (для телефонного номера, названия организации, адреса, почтового индекса и пр.) скрыты от глаз пользователей. Когда жертва вводит свое имя и электронный адрес, невидимые для нее поля заполняются автоматически, и данные отправляются мошенникам.Злоумышленники могут также добавить скрытые поля для номера кредитной карты и другой платежной информации.Атака работает для целого ряда популярных браузеров, таких как Google Chrome, Apple Safari и Opera, а также для приложения LastPass. Исключением является Mozilla Firefox, где пользователи должны все формы заполнять вручную. Однако злоумышленники все равно могут обманом заставить их ввести свои данные.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...