Потребителски пароли могат да изтичат през проверката на правописа в браузъра

Pixabay.com
geralt

Потребителски пароли могат да изтичат през проверката на правописа в браузъра

Рискова е функцията за визуализиране на пароли

Александър Главчев
297 прочитания

Pixabay.com

© geralt


Функцията за разширена проверка на правописа в браузърите Google Chrome и Microsoft Edge изпраща информация, включително лични данни и дори пароли на двете компании, съобщи Bleeping Computer. Не се знае дали това е нарочно въведена функционалност, но при всички положения повдига въпроси доколко сигурна е подобна практика, особено когато става дума за попълване на полета с лична информация.

От изданието цитират компанията за ИТ сигурност Otto-js, която е открила проблема. Според нея базовата проверка на правописа е безопасна. Разширената такава обаче изпраща данни за попълвания текст към облачни сървъри на двата гиганта.

Изтичане на пароли може да възникне, когато потребителят след въвеждане на комбинацията кликне върху бутона "покажи паролата". Веднага след това браузърът на Google или Microsoft ще провери въведените данни за правопис и ще ги изпрати в облака. Не е известно кой точно достъп до тях там, но тук е важен самият факт на изпращане на лични данни до сървъри на трети страни без разрешението на техния собственик.

Възможен е теч и на други данни като пълно име, телефонни номера и номера на документи, адреси на пребиваване и електронна поща. Така организации могат да изпращат на трети страни данни на свои клиенти.

Ситуацията се утежнява допълнително от това, че проблемът вероятно се простира далеч отвъд Chrome и Edge, изградени върху платформата Chromium. Вероятно тя засяга и други такива продукти.

Съществува само един гарантиран и ефективен начин за спиране на описвания трансфер на данни. За целта трябва да се деактивира функцията за функцията за разширена проверка на правописа. По подразбиране тя е изключена в Chrome, където се казва Enhaced Spellcheck. В Edge функцията се казва Microsoft Editor и представлява добавка за браузъра.

От Bleeping Computer са се свързали с двете компании за коментари. Google споделят, че данните, изпратени до нейните сървъри от проверката на правописа, наистина могат да бъдат лични. Въпреки това, според представители на гиганта, те не са обвързани с конкретен потребител, а само "временно се обработват на сървъра" (Google не ги прикачва към потребителски идентичности и само временно ги обработва на сървърите си).

Google обещават да доработят разширената проверка на правописа в Chrome, така че тя да не изпраща пароли до нейни сървъри. Не ясно какво количество лични данни са били прехвърляни по този начин и откога работи тази функция.

От Microsoft не са дали подробен коментар, споделяйки само, че са наясно със ситуацията.

Функцията за разширена проверка на правописа в браузърите Google Chrome и Microsoft Edge изпраща информация, включително лични данни и дори пароли на двете компании, съобщи Bleeping Computer. Не се знае дали това е нарочно въведена функционалност, но при всички положения повдига въпроси доколко сигурна е подобна практика, особено когато става дума за попълване на полета с лична информация.

От изданието цитират компанията за ИТ сигурност Otto-js, която е открила проблема. Според нея базовата проверка на правописа е безопасна. Разширената такава обаче изпраща данни за попълвания текст към облачни сървъри на двата гиганта.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК