本篇文章给各位网友带来的资讯是:安全团队警告:不要激活微软 Edge / 谷歌 Chrome 浏览器增强拼写检查功能,会暴露密码 详情请欣赏下文感谢IT大王网友 Coje_He 的线索投递!
IT大王 9 月 20 日消息,otto-js 安全团队最近的研究发现,正在由 Microsoft 编辑器和 Google Chrome 中增强的拼写检查设置检查的数据分别被发送回 微软和谷歌。这些数据包括了用户名、电子邮件、DOB、SSN,以及基本上输入到由这些功能检查的文本框中的任何内容。
作为附加说明,这些功能甚至可以发送密码,但只有当按下“显示密码”按钮时,才能将密码转换为可见文本,然后对其进行检查。
关键问题围绕敏感的用户个人身份信息 (PII) 解决,这是访问内部数据库和云基础设施时企业凭据的关键问题。在 otto-js 分享的下图中,可以看到用户登录到阿里云,然后他们的数据被分享给了谷歌。
一些公司已经采取措施防止这种情况发生,AWS 和 LastPass 安全团队都确认他们已经通过更新缓解了这种情况。这个问题被称为“拼写劫持”。最令人担忧的是,这些设置很容易被用户启用,并且可能导致数据泄露而没有人意识到这一点。
IT大王获悉,otto-js 的团队对不同行业的 30 个网站进行了测试,发现其中 96.7% 的网站将带有 PII 的数据发送回谷歌和微软。
有趣的是,唯一减轻该组问题的网站是 Google 本身,但仅针对某些服务,而不是其所有经过测试的产品。目前,otto-js 研究团队建议在此问题解决之前不要使用这些扩展和设置。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
版权声明:
1、IT大王遵守相关法律法规,由于本站资源全部来源于网络程序/投稿,故资源量太大无法一一准确核实资源侵权的真实性;
2、出于传递信息之目的,故IT大王可能会误刊发损害或影响您的合法权益,请您积极与我们联系处理(所有内容不代表本站观点与立场);
3、因时间、精力有限,我们无法一一核实每一条消息的真实性,但我们会在发布之前尽最大努力来核实这些信息;
4、无论出于何种目的要求本站删除内容,您均需要提供根据国家版权局发布的示范格式
《要求删除或断开链接侵权网络内容的通知》:https://itdw.cn/ziliao/sfgs.pdf,
国家知识产权局《要求删除或断开链接侵权网络内容的通知》填写说明: http://www.ncac.gov.cn/chinacopyright/contents/12227/342400.shtml
未按照国家知识产权局格式通知一律不予处理;请按照此通知格式填写发至本站的邮箱 wl6@163.com
1、IT大王遵守相关法律法规,由于本站资源全部来源于网络程序/投稿,故资源量太大无法一一准确核实资源侵权的真实性;
2、出于传递信息之目的,故IT大王可能会误刊发损害或影响您的合法权益,请您积极与我们联系处理(所有内容不代表本站观点与立场);
3、因时间、精力有限,我们无法一一核实每一条消息的真实性,但我们会在发布之前尽最大努力来核实这些信息;
4、无论出于何种目的要求本站删除内容,您均需要提供根据国家版权局发布的示范格式
《要求删除或断开链接侵权网络内容的通知》:https://itdw.cn/ziliao/sfgs.pdf,
国家知识产权局《要求删除或断开链接侵权网络内容的通知》填写说明: http://www.ncac.gov.cn/chinacopyright/contents/12227/342400.shtml
未按照国家知识产权局格式通知一律不予处理;请按照此通知格式填写发至本站的邮箱 wl6@163.com
