Google, LLC
Google Chrome'i advokaadi arendaja Jake Archibald on avastanud kaasaegses veebibrausimistehnoloogias üsna tõsise haavatavuse, mis võib lubada saitidel varastada sisselogimisandmeid ja muud tundlikku teavet. Kasutusobjektid võivad teoreetiliselt varastada teavet teiste saitide kohta, kuhu olete sisse loginud, kuid millele praegu ei proovita juurde pääseda.
Kaugründajad võivad hüpoteetiliselt seda haavatavust isegi kasutada veebiliidese kaudu juurdepääsetavate meilide või teile sotsiaalvõrgustike saitidel saadetud privaatsete postituste sisu lugemiseks.
Päritoluüleste päringute tehnoloogia on tuum, millele haavatavust saaks teoreetiliselt rajada. Kaasaegsed brauserid ei luba saitidel pärida rist pärinevaid päringuid, kuna tänapäevased insenerid usuvad, et ühel saidil on vähe õigustatud põhjuseid vaadata teiselt saadavat teavet.
Veebibrauserid pole teist tüüpi meediumifailide hankimisel väljaspool päritolu nii erilised, kuna selline taotlus on tingimata heli ja video voogesituse laadimine.
Saidikoodil on tavaliselt lubatud heli- ja videofaile laadida teisest domeenist, ilma et see peaks brauseril volitamata päringu viga kuvama. Brauserid võivad toetada ka teatud tüüpi vahemiku päiseid ja osalise sisukoormuse vastuseid, mis peaksid pakkuma väiksemaid tükke suuremast voogesitusmeediumitükist.
Microsoft Edge, Mozilla Firefox ja muud moodsad brauserid võiksid Archibaldi uuringute kohaselt petta selle meetodi abil ebaregulaarsete taotluste laadimiseks. On tõestatud, et need brauserid võimaldavad mitmest allikast läbipaistmatute andmete testkoopiaid lõpptarbijani.
Praegu pole teada ühtegi kräkkerite juhtumit, kes seda ründevektorit kasutaksid. Wavethrough, nagu Archibald seda nimetab, on Chrome'is ja Safaris juba parandatud, püüdmata seda tegelikult sihipäraselt teha. Ta teatas, et soovib, et selline turvaelement oleks sirvimisstandardina sisse kirjutatud, nii et kõik kaasaegsed brauserid oleksid haavatavuse suhtes immuunsed.
Ehkki Microsofti või Mozilla veale reageerimisest pole ühtegi uudist tulnud, pole raske uskuda, et mõlema brauseri järgmise suurema värskendusega ilmuvad plaastrid. Insenerid võivad ka kunagi soovida, et see disain oleks Archibaldi soovil standardne.
Sildid Google Chrome veebiturvalisus
