Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

瀏覽器的安全設計再加上網站漏洞,讓擴充程式可存取使用者密碼等機密資料

Share

流量营销

2023-09-05

研究人員指出坊間主要瀏覽器的粗粒度權限模型(Coarse-Grained Permission Model)違反兩項安全設計準則,再加上網站上的輸入欄位含有安全漏洞,將足以讓駭客藉由瀏覽器擴充程式取得使用者所輸入的機密資料

片來源《Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields》

在分析全球前1萬個網站的登入頁面之後,發現有1,100個網站在其HTML原始碼中以明文呈現密碼,包括Google、Cloudflare與Doordash在內,另有7,400個網站含有與DOM相關的安全漏洞,像是Facebook。此外,該報告也宣稱Amazon信用卡輸入欄位並未導入任何保護機制,而讓他們得以在網頁上看到明文的安全碼及郵遞區號。

片來源《Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields》

為了測試Chrome Web Store的審核程序,研究人員打造了一個可汲取密碼的概念性驗證攻擊程式,將其偽裝成基於GPT的助理工具,可提供類似ChatGPT的能力,並將它上傳到Chrome Web Store上,由於它既符合Manifest V3擴充程式規格,也沒有明顯的惡意程式碼,因而順利地通過了Google的審核。

研究人員指出,Web Store沒能辨識出該惡意擴充程式,彰顯出業界需要一個更強大的瀏覽器擴充程式驗證系統。

儘管Chrome與Microsoft Edge等Chromium瀏覽器都已經採用了更安全及更具隱私的Manifest V3規格,也不再接受基於Manifest V2的擴充程式,亦未能防範上述的威脅,而持續允許Manifest V2擴充程式的Safari及Firefox顯然更容易遭到類似的攻擊。




o游戏需求资源高效对接 o精准触达游戏供应商 o免费发布业务需求

欢迎加入 Huidu.io出海遊戲項目交流社區:@HUIDU_SQ

商务合作: @HDDanny @HDYoyi  @HDseven777 

会员充值: @HDFreya  @HDmax933 @HDElira

媒体合作: @HDmax933  @Huidu852

Disclaimer:
浏览使用本站时请注意核实信息的准确性或完整性,由于网站信息的非可用性造成的损害,灰度(www.huidu.io)绝不会对任何性质的损失承担责任。任何机构或者个人不得以任何方式修改或非法使用本站内容。此外,您同意不假冒任何个人或实体、不虚假声明或谎称与任何个人或实体之间的关系。灰度(www.huidu.io)可自主决定终止
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+