Google, LLC
Google Chrome advokātu izstrādātājs Džeiks Arčibalds ir atklājis diezgan nopietnu ievainojamību mūsdienu tīmekļa pārlūkošanas tehnoloģijā, kas vietnēm varētu ļaut nozagt pieteikšanās datus, kā arī citu sensitīvu informāciju. Izmantošana teorētiski varētu nozagt informāciju, kas saistīta ar citām vietnēm, kurās esat pieteicies, taču pašlaik nemēģināt piekļūt.
Attālinātie uzbrucēji hipotētiski varētu pat izmantot šo ievainojamību, lai lasītu e-pasta saturu, kuram piekļūstat no tīmekļa saskarnes, vai privātus ziņojumus, kas jums nosūtīti sociālo tīklu vietnēs.
Starpcilmes pieprasījumu tehnoloģija nodrošina kodolu, uz kuru teorētiski varētu balstīties uz ievainojamību. Mūsdienu pārlūkprogrammas neļauj vietnēm iesniegt savstarpējas izcelsmes pieprasījumus, jo mūsdienu inženieri uzskata, ka vienai vietnei ir maz likumīgu iemeslu, lai skatītos uz citu sniegto informāciju.
Tīmekļa pārlūkprogrammas nav tik īpašas, kad jāiegūst cita veida multivides faili, kas mitināti ārpus izcelsmes, jo šāda veida pieprasījumam obligāti jāielādē audio un video straumēšana.
Vietnes kodam parasti ir atļauts ielādēt audio un video failus no cita domēna, nepieprasot pārlūkprogrammai parādīt neatļautu pieprasījuma kļūdu. Pārlūkprogrammas var atbalstīt arī dažu veidu diapazona galvenes un daļējas satura ielādes atbildes, kurām paredzēts piegādāt nelielus gabalus no lielāka straumēšanas multivides gabala.
Saskaņā ar Archibald's pētījumu Microsoft Edge, Mozilla Firefox un citas modernas pārlūkprogrammas varētu maldināt, ielādējot neregulārus pieprasījumus, izmantojot šo metodi. Ir pierādīts, ka šīs pārlūkprogrammas nodrošina necaurspīdīgu datu testa kopijas no vairākiem avotiem līdz galalietotājam.
Pašlaik nav zināmi gadījumi, kad krekeri izmanto šo uzbrukuma vektoru. Wavethrough, kā to sauc Archibald, jau ir koriģēts pārlūkā Chrome un Safari, patiešām mērķtiecīgi nemēģinot to izdarīt. Viņš paziņoja, ka vēlas, lai šāda veida drošības funkcija būtu pierakstīta kā pārlūkošanas standarts, tāpēc visas mūsdienu pārlūkprogrammas būtu neaizsargātas pret ievainojamību.
Lai gan nav bijis nekādu ziņu par Microsoft vai Mozilla atbildi uz kļūdu, nav grūti noticēt, ka plāksteri tiks izlaisti ar nākamo nozīmīgo abu šo pārlūkprogrammu atjauninājumu. Inženieri var arī kādreiz pieprasīt, lai šis dizains būtu standarts, kā to vēlējās Arčibalds.
Tagi Google Chrome tīmekļa drošība
