Google, LLC
Jake Archibald, vývojár advokátov prehliadača Google Chrome, objavil v modernej technológii prehliadania webových stránok pomerne závažnú chybu, ktorá by webom mohla umožniť odcudzenie prihlasovacích údajov a ďalších citlivých informácií. Exploity by teoreticky mohli ukradnúť informácie súvisiace s inými webmi, na ktoré ste sa prihlásili, ale v súčasnosti sa nepokúšajú o prístup.
Vzdialení útočníci by mohli hypoteticky dokonca použiť túto chybu zabezpečenia na čítanie obsahu e-mailov, ku ktorým pristupujete z webového rozhrania, alebo súkromných príspevkov, ktoré vám boli zaslané na stránkach sociálnych sietí.
Technológia požiadaviek na krížový pôvod predstavuje jadro, na ktorom by sa dalo zraniteľnosť teoreticky postaviť. Moderné prehliadače nepovoľujú webovým serverom odosielať žiadosti o vzájomný pôvod, pretože moderní inžinieri sa domnievajú, že existuje niekoľko legitímnych dôvodov, aby sa jeden web mohol pozerať na informácie poskytované iným.
Webové prehliadače nie sú také konkrétne, pokiaľ ide o načítanie iných typov mediálnych súborov hostovaných na serveroch iného pôvodu, pretože tento druh požiadavky nevyhnutne vyžaduje načítanie streamovaného zvuku a videa.
Kód webu je všeobecne povolený na načítanie zvukových a obrazových súborov z inej domény bez zobrazenia výzvy prehliadača, aby zobrazil chybu neoprávnenej požiadavky. Prehliadače môžu tiež podporovať niektoré typy odpovedí na záhlavie rozsahu a čiastočné načítanie obsahu, ktoré majú dodávať malé kúsky väčšej časti streamovaného média.
Microsoft Edge, Mozilla Firefox a ďalšie moderné prehliadače by mohli byť podvedení k načítaniu nepravidelných požiadaviek pomocou tejto metódy podľa výskumu spoločnosti Archibald’s. Ukázalo sa, že tieto prehliadače umožňujú testovacie kópie nepriehľadných údajov z viacerých zdrojov až po koncových používateľov.
V súčasnosti nie sú známe žiadne prípady crackerov, ktoré by využili tento útočný vektor. Program Wavethrough, ako ho nazýva Archibald, už bol opravený v prehliadačoch Chrome a Safari bez toho, aby sa o to naozaj zámerne pokúšal. Uviedol, že si želá, aby bol tento druh bezpečnostnej funkcie zapísaný ako štandard prehliadania, aby všetky moderné prehliadače boli voči zraniteľnosti imúnne.
Aj keď zatiaľ neexistujú žiadne správy o tom, že by Microsoft alebo Mozilla reagovali na túto chybu, nie je ťažké uveriť tomu, že s ďalšou významnou aktualizáciou oboch týchto prehľadávačov budú vydané opravy. Inžinieri môžu tiež niekedy tlačiť na to, aby bol tento dizajn štandardný, ako si želal Archibald.
Značky Google Chrome webová bezpečnosť
